이 글을 몇 가지 질문으로 시작해 보겠습니다:

  1. 물이 새는 양동이와 낡은 라우터에는 어떤 공통점이 있을까요?
  2. 할머니께서 사이버 범죄자들을 돕고 계실 수도 있을까요?
  3. 집에 기기가 5개 있는데 연결된 기기는 왜 6개일까요?

이 글을 읽으시면 이 질문들에 답할 수 있게 될 것입니다.

먼저 이러한 프록시 서비스가 실제로 어떤 사업인지 살펴보겠습니다.

프록시 서비스는 주로 데이터 스크래핑, SEO 조작, 다양한 유형의 차단 우회 등 다양한 목적으로 사용됩니다. 하지만 이 서비스에는 어두운 면도 있습니다. 불법 활동에 이용될 수 있으며, 공격자의 실제 IP 주소가 탐지되는 것을 우회하는 수단이 되기도 합니다.
매년 여러 국가의 당국이 (SocksEscort와 같은) 이러한 서비스를 단속하지만, 하나가 폐쇄되면 수십 개의 새로운 서비스가 생겨납니다. 그 이유는 무엇일까요?
이는 사람들이 자발적으로, 혹은 자신도 모르게 가담하는 매우 수익성이 높은 사업 모델이기 때문입니다.

프록시 서비스의 구조는 어떻게 될까요?

How proxy service actually works inside
프록시 서비스의 내부 작동 원리

이것은 일반적인 프록시 서비스의 작동 방식을 단순화하여 시각화한 것입니다. 하지만 여기서도 그들이 점점 더 많은 새로운 IP 주소를 확보하기 위해 온갖 방법을 동원하고 있음은 분명합니다.

방법 1: 보안 취약점이 있는 라우터와 IoT 기기.

Option 1: Vulnerable routers and IoT devices.
옵션 1: 취약한 라우터와 IoT 기기.

공개적으로 접근 가능한 IP 주소를 통해 공격자는 다음을 테스트할 수 있습니다:

  1. RCE(원격 코드 실행), 인증 우회 등 구형 소프트웨어의 취약점. 이 글을 작성하는 시점에 최근의 예로는 TP-Link의 긴급 패치가 있습니다.
  2. D-Link 사례에서 볼 수 있듯이 기본(하드코딩된) 비밀번호로 인한 위협
  3. 비밀번호에 대한 무차별 대입 공격(SSH/Telnet/웹 로그인)
  4. 디버그 인터페이스 악용
  5. CDN 하이재킹 및 악성 펌웨어 배포
  6. 구형 리눅스 커널의 악용

냉장고, 세탁기, 심지어 이산화탄소 센서까지 이 봇넷의 일부가 될 수 있습니다. 인터넷에 연결되어 있고 외부에서 직접 또는 DDNS를 통해 접근할 수 있는 모든 기기가 해당됩니다.

옵션 2. 모바일 기기나 PC의 바이러스.

공격자가 피해자의 모바일 또는 인터넷 트래픽을 악용할 수 있게 하는 휴대폰이나 PC의 바이러스가 가장 흔합니다. 여기서는 별도의 설명이 필요 없을 것입니다.

방법 3. 무료 VPN.

How "free VPN" works
"무료 VPN"의 작동 방식

이것은 아마도 가장 과소평가된 범주일 것이며, 이러한 서비스를 법적으로 가능하게 만드는 요소이기도 합니다.

하지만 어떻게 그게 가능할까요? 이용 약관에 동의할 때, 거기에는 영혼을 파는 것(/s)까지 무엇이든 포함될 수 있습니다. 여기서는 적어도 영혼을 파는 것은 아니지만, 트래픽을 팔고 있는 셈입니다. 교묘한 법적 허점 덕분에 VPN 서버의 트래픽을 사용하는 대가는 결국 사용자의 트래픽이 이용되는 것에 대한 허가로 전환됩니다.

하지만 여러분은 이렇게 말할지도 모릅니다. 그런 사업을 추적해서 폐쇄하는 건 쉽지 않나요? 아닙니다. 그들은 "악의적인" 사용자를 차단하고 계속 운영할 것입니다. 그리고 이 접근 방식이 가장 효과적인데, 그 이유는 사용자가 동의했기 때문입니다. 아무도 프로그램이나 서비스의 몇 페이지에 달하는 개인정보 처리방침과 이용약관을 읽지 않습니다. 프록시 서비스에서 비트코인으로 결제할 수 있는 옵션이 있는 것은 항상 편의성을 위한 것만은 아닙니다.

옵션 4. “실제 비즈니스 모델”.

Опишите изображение

이 시나리오에서 공격자들은 이미 자금을 확보하고 있으며, 이를 서비스용 서버 구매뿐만 아니라 단일 보드 컴퓨터와 같은 기기 구입에도 사용합니다.
네트워크에 연결되는 9~20달러짜리 기기는 한 달도 채 되지 않아 투자 비용을 회수합니다. 공개 네트워크나 비밀번호가 알려진 네트워크(예: 식당이나 상점 내)라면 어디든 표적이 될 수 있습니다.

공격자는 활성 인터넷 네트워크 근처에 USB 전원 장치를 남겨둡니다. 그들은 종종 여러 네트워크가 미리 알려져 있고 그 사이를 전환할 수 있는 위치를 선택합니다. 변형은 공격자의 독창성에 따라 달라집니다.

옵션 5. 기타 방법

이러한 방법은 로밍 기반 수법과 유사하지만, 서비스 제공자의 신속한 대응과 보안 연구원들의 노력 덕분에 빠르게 차단될 위험이 있어 점점 드물어지고 있습니다.

이 범죄 네트워크의 피해자나 공범이 되지 않으려면 어떻게 해야 할까요?

  1. 구형 라우터를 사용하지 마십시오. 비용을 절약하기 위해 제조사에서 더 이상 지원하지 않아 취약점이 있을 수 있는 라우터를 구매하는 경우가 많습니다. 인터넷 서비스 제공업체에서 라우터를 제공하는 경우, 해당 업체에 문의하여 라우터의 수명 종료(EoL) 날짜를 확인하십시오.
  2. 신원이 확인되지 않은 판매자가 제공하는 알 수 없는 라우터는 사용하지 마십시오. 이미 바이러스에 감염되었거나 나중에 이러한 목적으로 악용될 수 있습니다.
  3. “무료 VPN”이라는 문구를 믿지 마십시오. VPN에 의존하지 않는 대형 기업을 제외하고는 모든 것에는 대가가 따릅니다.
  4. 광고나 "설치하고 수익 얻기(Install-to-Earn)" 방식에서 의심스러운 앱을 설치하지 마십시오.
  5. 네트워크에 연결된 호스트 수를 확인하십시오. 위협은 종종 바로 옆에 있습니다.


그러나 시간이 지남에 따라 네트워크 연결을 분석하여 프록시 사용 패턴을 파악할 수 있게 됨에 따라 이러한 서비스는 점차 사라질 것입니다.
그렇기 때문에 범죄자들은 이제 "휴대폰이 대기 상태에서도 돈을 벌어준다", "데이터 사용량에 대해 보상을 받는다", "차단 없이 무료로 사랑하는 사람들과 연락을 유지한다"는 등의 의심스러운 홍보 문구로 속기 쉬운 사용자를 유혹하여, 이를 최대한 활용하려고 하고 있습니다.

항상 경계를 늦추지 마십시오.