당신의 휴대폰이나 공유기도 몰래 임대된 1700만 대 중 하나였을 수 있다

봇넷이 늘 휴대폰을 느리게 만들거나 화면을 팝업으로 뒤덮으며 정체를 드러내는 것은 아니다. 네덜란드 경찰이 방금 폐쇄한 네트워크는 평범한 사용자가 알아챌 만한 일을 거의 하지 않았다. 그것은 1700만 대가 넘는 기기, 즉 컴퓨터와 스마트폰, 태블릿, 가정용 공유기, 인터넷에 연결된 가전의 아주 작은 몫을 조용히 빌려 그 회선을 낯선 이들에게 임대했다. 그 기기 중 하나가 당신 것이었다면, 영영 마주칠 일 없는 누군가가 몇 달 동안 당신 집 회선으로 웹을 둘러보고 데이터를 긁어가고 사이트를 공격했을 수 있다.

네덜란드 국가경찰과 자국의 국가사이버보안센터는 네덜란드 국내의 한 호스팅 업체에서 서버 약 200대를 압수한 뒤 운영을 멈췄다. 수사관들은 이 네트워크를 주거용 프록시 서비스라고 설명한다. 한 사람의 트래픽을 다른 사람의 진짜 소비자 기기를 거쳐 보내, 평범한 가정의 인터넷 사용처럼 보이게 하는 시스템이다. 바로 그 위장이 상품의 전부다. 진짜 가정 주소에서 나온 듯 보이는 트래픽은 알려진 데이터센터 서버라면 즉시 차단했을 사기 탐지 필터를 슬쩍 빠져나간다. 주거용 프록시가 광고주에게도, 데이터 수집업자에게도, 범죄자에게도 똑같이 귀한 대접을 받는 이유가 여기에 있다.

네덜란드 언론은 이 기반을 ASOCKS와 연결 지었다. 러시아에 본사를 둔 이 회사는 주거용·모바일 프록시 접속을 상업적으로 판매한다. 겉보기에 ASOCKS는 평범한 구독형 사업처럼 보인다. 문제는 그 가정용 회선이 어디서 오느냐다. 보안 연구자들은 이런 네트워크를 떠받치는 기기의 상당수가 한 번도 본인 의사로 등록된 적이 없으며, 소유자들은 자기 대역폭이 팔리고 있다는 사실조차 몰랐다고 수년째 경고해 왔다.

기기는 몇 가지 방식으로 끌어모아졌고, 거의 모두가 무료 소프트웨어에 잘못 둔 신뢰로 귀결된다. 어떤 사람은 무료 앱이나 배경화면 도구, 휴대폰 유틸리티, 혹은 비공식 VPN을 설치했는데, 그것이 배경에서 조용히 프록시 소프트웨어를 함께 들여왔다. 안드로이드에서는 앱 제작자들이 자사 제품에 넣은 개발 키트 안에 숨은 PROXYLIB라는 코드 라이브러리가 묻지도 않고 휴대폰을 프록시 노드로 등록했다. 다른 기기는 같은 기능을 곧바로 설치하는 악성코드에 감염됐다. 어느 경우든 기기는 평소처럼 작동했고, 그 회선은 다른 누군가를 위해 일했다.

일단 풀에 들어가면 한 기기의 회선은 무해한 가정 사용자처럼 보이는 데서 이득을 얻는 거의 모든 일에 쓰일 수 있었다. 네덜란드 당국은 이 네트워크가 피싱 캠페인과 스팸, 온라인 서비스를 마비시키는 서비스 거부 공격, 무차별 대입과 자격증명 스터핑 로그인 시도, 클릭 사기, 그리고 비싼 프리미엄 문자로 조용히 돈을 빼가는 SMS 펌핑 수법에 동원됐다고 밝혔다. 탈취된 공유기 한 대로는 별것을 못 한다. 그러나 1700만 대가 한데 모이면 어엿한 기반 시설이 된다.

검거는 진짜지만 치료는 아니다. 경찰은 네트워크를 지휘하던 서버를 확보했지만 ASOCKS 웹사이트는 그 뒤에도 여전히 접속이 됐고, 그 배후 사업이 실제로 얼마나 무너졌는지는 불분명하다. 지휘 서버를 끊는다고 1700만 대가 저절로 정리되지는 않는다. 함께 들어온 프록시 코드와 악성코드는 새 운영자가 집어 들 때까지 휴대폰이나 공유기 안에 손대지 않은 채 머물 수 있기 때문이다. 게다가 주거용 프록시 남용은 한 회사가 아니라 하나의 시장이다. 한 네트워크를 막으면 수요는 다음으로 옮겨간다. 광고 검증 업체부터 웹을 긁는 AI 기업까지, 진짜 주소를 향한 합법적 수요가 이 모델을 계속 수익성 있게 떠받치기 때문이다.

규모를 가늠하자면 1700만 대라는 숫자는 이 네트워크를 지금까지 차단된 최대 규모의 프록시 망 중 하나로 올려놓는다. 바이러스 하나를 퍼뜨려 머리기사를 장식하는 여느 악성코드 봇넷보다 훨씬 크다. 다만 랜섬웨어 감염과 달리 뚜렷한 증상이 나타나는 경우는 드물다. 단서는 대개 시시하다. 이유 없이 뜨거워지거나 재부팅되는 공유기, 자꾸 데이터 한도에 부딪히는 집 요금제, 실제 사용량과 맞지 않게 배터리와 데이터가 닳는 휴대폰, 또는 주소가 수상해 보인다며 거듭 캡차를 풀게 하는 웹사이트 같은 것들이다.

감염된 기기가 한 나라에 몰려 있지 않고 전 세계에 흩어져 있었기에 위험은 지역적이지 않다. 낡은 공유기나 무료 유틸리티가 잔뜩 깔린 저가 안드로이드 폰을 쓰는 사람이라면 누구든 휩쓸렸을 수 있다. 실질적인 방어책은 화려하지 않고 익숙하다. 공유기와 휴대폰을 최신 상태로 유지하고, 실제로 쓰지 않는 무료 앱을 지우며, 공식 스토어 밖에서 내려받은 소프트웨어와 공짜로 무언가를 약속하는 비공식 VPN을 멀리하고, 몇 년째 손대지 않고 돌아가는 공유기를 재부팅하라.

이 사건은 한 보안 연구자가 사이버보안센터에 수상한 프록시 활동을 신고하면서 시작됐고, 네덜란드 당국은 압수한 서버에 대한 분석이 계속되고 있으며 지금까지 발표된 체포는 없다고 밝혔다. 이 사건이 분명히 보여주는 것은, 기기 경제에 이제 당신의 대역폭을 거래하는 암시장이 포함됐다는 사실이다. 다음번에 어떤 앱이 공짜라면, 팔리고 있는 상품은 당신이 이미 요금을 내고 있는 바로 그 인터넷 회선일지 모른다.