4년간 운영된 Popa 봇넷이 안드로이드 TV 박스 수백만 대를 주거용 프록시로 강제 전환했다. 나스닥 상장 이스라엘 기업 Alarum Technologies와 NetNut의 연결 고리를 분석한다.
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
당신의 거실 TV 박스가 사이버 범죄의 중계 기지로 운영되고 있다면 어떻게 될까. 이 시나리오는 2026년 6월 18일 현실로 확인됐다. Krebs on Security와 복수의 보안 연구팀이 동시에 보고서를 발표했다. 4년간 수백만 대의 안드로이드 TV 박스를 조용히 통제해온 Popa 봇넷 이 나스닥 상장 이스라엘 기업 Alarum Technologies(NASDAQ: ALAR) 의 프록시 서비스 NetNut과 연결된다는 분석이다. 기기 소유자는 동의한 적 없고, 보상도 받은 적 없다. 하루 최대 250만 개의 가정 IP가 타인의 트래픽을 무보수로 중계하고 있다.
주요 수치 (2026년 6월 기준)
주거용 프록시(residential proxy)는 가정 인터넷 IP 주소를 통해 트래픽을 중계하는 서비스다. 기업은 지역별 가격 확인, 광고 검증, 경쟁사 정보 수집에 활용하고, 데이터 수집 업체는 Cloudflare·DataDome 같은 봇 차단 시스템을 우회하는 데 사용한다. 합법적으로 운영되면 가정 사용자는 대역폭을 공유하는 대가로 현금이나 서비스를 받는다.
핵심 기준은 하나다. 사용자가 실질적으로 동의했는가.
Popa는 Vo1d 봇넷 생태계의 플러그인 컴포넌트다. 비공식 안드로이드 TV 박스에 사전 탑재되거나, CRICFy·DooFlix·Sprozfy·RTS Tv·CyberFlix 같은 불법 스트리밍 앱을 통해 유입된다. 핵심 기능은 하나다. 감염된 TV 박스를 주거용 IP 중계 노드로 전환해 타인의 트래픽을 통과시키는 것이다.
Popa를 분석한 보안 연구팀은 20개 이상의 공식 배포자를 확인했다. 그중 단 한 곳도 사용자 동의를 실제로 구하지 않았다. 최근 빌드에 동의 요청 기능이 추가됐지만 활성화된 사례는 확인되지 않았다. 이는 설계 단계부터 동의를 우회하는 구조로 만들어졌다는 의미다.
인프라 규모는 각 노드가 최대 6만 명을 동시 처리하는 수준이다. 제어 서버 250~300개가 각 노드를 지휘하며, Nokia Deepfield가 26개 노드만 24시간 모니터링했을 때 75만 개의 고유 출처가 확인됐다. 전체 359개 이상의 노드를 기준으로 환산하면 실제 규모는 수 배에 달한다.
연구자들이 주목한 것은 Popa의 제어 도메인이다. XLAB이 2025년 식별한 도메인 중 ninjatech[.]io는 NetNut의 R&D 부사장 Moishi Kramer가 설립한 Ninjatech가 등록했다. Kramer는 LinkedIn에서 NetNut을 "처음부터 구축하고 아키텍처를 설계했다"고 밝히고 있다. Badbox 2.0 인프라가 2025년 7월 압수된 뒤, Popa는 일부 도메인을 Ninjatech 관련 인프라로 즉시 교체했다.
프록시 추적 서비스 Synthient는 "Popa를 실행하는 기기들이 NetNut 클라이언트의 트래픽을 중계한다는 것을 높은 신뢰도로 평가한다"고 밝혔다. Black Lotus Labs의 Chris Formosa는 "Popa가 특히 위험한 이유는 NetNut이 리셀링에 얼마나 광범위하게 쓰이는가에 있다"고 분석했다.
Alarum Technologies는 이를 정면 부인했다. SDK가 "사용자 기기를 악성코드 제어 시스템으로 전환하지 않으며, 동의 절차를 강조한다"는 것이다. Kramer도 "SDK가 재배포·리브랜딩되면 원래 개발자는 이후 사용 방식을 통제할 수 없다"고 해명했다.
Spur의 2026년 6월 8일 보고서는 이 해명의 전제 자체를 뒤집었다. NetNut은 기업 인증을 요구하지 않으며, 리셀러를 통하면 버너 이메일 주소와 5달러의 암호화폐만으로 NetNut 파트너 IP 공간을 통해 트래픽을 라우팅할 수 있다. 누가 트래픽을 보내는지 확인하지 않으면, 봇넷이 중계한 트래픽의 최종 구매자도 익명으로 남는다. Spur의 Sean Simmons는 "KYC 요구 주장은, 버너 이메일 하나로 서비스에 접근할 수 있다는 사실 앞에서 단순한 마케팅 문구에 불과하다"고 일축했다.
스마트 TV 플랫폼 자체도 취약한 연결 고리다. 보안 연구사 Include Security의 분석에 따르면 LG webOS용 앱의 42% 이상 이 TV를 상시 주거용 프록시 노드로 전환하는 SDK를 포함하고 있다. Samsung Tizen용 앱도 25% 이상 이 유사 컴포넌트를 탑재한다. 두 플랫폼 각각 약 3,000개의 앱을 앱스토어에서 제공한다.
반면 Amazon은 앱을 통한 프록시 서비스 제공을 약관으로 금지하고, Roku는 프록시 SDK 사용 앱을 개발자 정책으로 차단하며 이미 배포된 앱을 제거했다.
Include Security는 "TV 인터페이스에서의 개인정보 보호정책 공개는 잘못된 통제 수단"이라고 지적했다. TV를 사용하는 가족 중 누구든, 심지어 어린이도 프록시를 활성화하는 앱을 설치할 수 있기 때문이다. Infoblox는 이 서비스가 기업 네트워크 환경에서도 "놀라운 유병률"을 보인다고 경고했다.
Popa가 활성화하는 주거용 프록시 트래픽은 세 가지 범죄에 집중적으로 활용된다.
광고 사기: 75만 개 이상의 고유 가정 IP에서 발생하는 클릭은 기업 대역 IP와 달리 봇 탐지 시스템에 정상 트래픽으로 분류된다. Cloudflare·DataDome 같은 차단 시스템이 출처 IP의 평판을 기준으로 작동하기 때문에, Popa 규모의 분산된 가정 IP는 그 기준을 통과한다.
계정 탈취: 지리적으로 분산된 수백만 개의 주거용 IP에서 오는 로그인 시도는 속도 제한이나 자동 차단이 적용되기 어렵다. 크리덴셜 스터핑 공격에 최적화된 환경이다.
AI 학습 데이터 스크레이핑: 2026년 5월 단 한 건의 데이터 스크레이핑 이벤트에서 140만 개의 IP가 동원됐다. AI 기업 70여 곳이 저작권 침해 소송을 받는 상황에서, 출처를 주거용 IP로 분산시키면 책임 소재 추적이 극히 어려워진다. 대학·도서관·비영리 단체의 웹사이트 서비스 중단 사례도 보고됐다.
Spur의 Sean Simmons는 "대부분의 사람들은 자신의 주거용 IP 접근권을 판매하는 것이 무엇을 의미하는지 정확히 이해하지 못한다"고 말했다.
Popa 봇넷의 표적은 전 세계 비공식 안드로이드 TV 박스다. 한국에서도 저가 안드로이드 스트리밍 박스가 공식 IPTV 셋톱박스 대용으로 오픈마켓이나 해외 직구를 통해 유통된다. 제조사 인증이 없는 장치일수록 Vo1d 생태계의 진입 경로가 될 가능성이 높다.
한국 IP는 주거용 프록시 시장에서 상대적으로 높은 가치를 지니는 것으로 알려져 있다. 주거용 프록시 업체들이 한국을 포함한 아시아 주요국 IP를 지역 특화 데이터로 묶어 판매하기 때문이다. 국내 e커머스 플랫폼과 광고 네트워크도 Popa를 경유한 광고 사기나 데이터 스크레이핑의 피해 대상이 된다.
이 사건의 핵심 반전은 기술적 취약점이 아니라 법적 회색지대에 있다. 나스닥에 상장된 합법 기업이 운영하는 프록시 서비스가 동의 없는 봇넷과 같은 인프라를 공유하는 것이 현행 규제 체계에서는 차단되지 않는다. 한국 기업 네트워크 방어자들이 마주칠 주거용 프록시 트래픽 역시 이 구조적 허점에서 발원할 수 있다.
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.