2026년 7월 초 구글 위협정보그룹 GTIG는 FBI 및 통신사 유룸 블랙 로터스 랩스와 공동으로 약 2백만 대의 가정용 디바이스를 무단 중계망으로 전용한 넷넛 주거용 프록시 네트워크를 사실상 무력화했다고 공개했습니다. 이 단속은 주거용 IP를 빌려 범죄 트래픽을 위장하는 사이버 범죄 인프라에 대한 글로벌 공조 사례라는 점에서 의미가 큽니다.
핵심 요약
- 규모와 정체: 넷넛은 약 2백만 대의 가정용 디바이스를 유료 중계망으로 전용한 주거용 프록시 네트워크이며 구글은 이를 팝파라는 이름으로도 추적합니다.
- 단속 주체: 구글 위협정보그룹 GTIG가 단독 발표했으며 FBI와 통신사 유룸의 블랙 로터스 랩스가 협력 기관으로 참여했습니다.
- 단속 효과: 사용 가능한 디바이스 풀이 수백만 대 단위로 축소되어 범죄용 주거용 프록시 시장과 봇 트래픽 인프라가 동시에 타격을 입었습니다.
주거용 프록시 범죄 인프라는 일반 가정의 인터넷 회선을 무단으로 활용해 수사 추적을 교란하므로 이번 단속은 사용자 디바이스 보안의 중요성을 다시 한번 부각합니다.
사건 개요 넷넛과 팝파의 실체
넷넛은 주거용 IP 대역을 필요로 하는 공격자에게 가정용 회선을 유료로 재판매하는 상업용 프록시 서비스로 알려져 있습니다. 구글 위협정보그룹은 동일한 운영 주체를 팝파라는 명칭으로도 추적하고 있어 위협 인텔리전스 측면에서 단일 인프라로 분류됩니다.
주거용 프록시 네트워크의 작동 원리
주거용 프록시는 일반 가정의 인터넷 회선이 사용하는 IP 대역을 그대로 임대하는 방식입니다. 공격자는 자신의 트래픽을 사용자 디바이스를 경유시켜 보냄으로써 데이터센터 IP 기반의 일반적인 봇 탐지를 우회하려 시도합니다. 결과적으로 크리덴셜 스터핑, 어뷰즈 등록, 티켓 자동 매크로, 광고 사기 등의 공격이 주거용 IP로 위장되어 정상 트래픽과 구분이 어려워집니다.
| 구분 | 출처 | 탐지 난이도 | 주요 악용 사례 |
|---|---|---|---|
| 주거용 프록시 | 가정용 라우터 및 IoT 디바이스 | 높음 | 크리덴셜 스터핑, 어뷰즈, 티켓 매크로 |
| 데이터센터 프록시 | 클라우드 및 IDC IP 대역 | 낮음 | 단순 웹 스크래핑, 저가형 봇 |
공격자가 주거용 디바이스를 장악하는 방식
대부분의 감염은 취약한 라우터 관리 페이지, 기본 비밀번호를 사용하는 IoT 카메라, 또는 패치되지 않은 펌웨어를 대상으로 한 익스플로잇으로 발생합니다. 일단 디바이스가 봇에이전트를 설치하면 정상적인 트래픽 사이에 프록시 트래픽이 섞여 들어가기 때문에 일반 사용자는 평소와 다른 체감 속도 외에는 이상 징후를 인지하기 어려운 것으로 분석됩니다.
구글 GTIG의 단속 과정과 협력 기관
구글 위협정보그룹 GTIG는 2026년 7월 초 공개한 보고서를 통해 넷넛 인프라에 대한 다면적 차단을 발표했습니다. 단독 발표 형식이지만 FBI 및 통신사 유룸의 블랙 로터스 랩스가 협력 기관으로 공식 언급되어 수사 측면에서도 다자 공조가 진행된 것으로 보입니다.
FBI 및 유룸과의 합동 조사
법 집행 측면에서는 FBI가 넷넛 운영 주체에 대한 추적을 담당하고 통신사 유룸은 자사 회선에서 발생하는 비정상 트래픽 패턴을 식별해 감염 디바이스 후보군을 추출한 것으로 분석됩니다. 통신사 레벨에서 출구 트래픽을 분석하면 특정 IP 대역에서 반복적으로 서로 다른 지리적 목적지로 트래픽이 발신되는 패턴이 포착되므로 단속 효율이 크게 향상됩니다.
사용 가능 디바이스 풀 축소 기술적 접근
GTIG는 넷넛의 사용 가능 디바이스 풀을 수백만 대 단위로 축소했다고 공개했습니다. 구체적인 차단 메커니즘은 공개되지 않았으나 광고 플랫폼과 봇 탐지 서비스 측면에서 넷넛 IP 평판 정보를 일제히 악성으로 재분류해 실질적인 가용성을 떨어뜨린 것으로 분석됩니다. 평판 데이터가 일제히 갱신되면 주거용 프록시 운영자는 정상 트래픽과의 구분이 어려워져 서비스의 가치를 상실하게 됩니다.
영향과 산업적 파장
단속이 주거용 프록시 서비스 전반의 가격과 가용성을 동시에 흔들 수 있다는 점에서 업계 파급 효과가 클 것으로 전망됩니다. 넷넛은 상업용 주거용 프록시 시장에서 오랜 기간 운영된 서비스로 평가되므로 공급 축소는 시장 가격 상승과 대체 서비스로의 사용자 이동으로 이어질 수 있습니다.
주거용 프록시 시장 가격 및 범죄 서비스 영향
주거용 프록시 시장은 일반적으로 대역폭과 IP 수에 비례해 가격이 책정되며, 넷넛 단속으로 공급이 줄면 가격이 책정됩니다. 공급 풀이 수백만 대 단위로 줄어들면 단위 가격이 상승하고 범죄 서비스의 비용 구조가 악화되어 수익성이 떨어질 것으로 보입니다. 다만 공격자 측면에서는 패치되지 않은 신규 IoT 디바이스를 타깃으로 한 대체 봇을 빠르게 편입하려 할 가능성이 있어 시장 가격의 단기적 변동성이 커질 전망입니다.
기업 보안 및 봇 탐지 전략 변화
기업 보안팀은 이번 단속을 계기로 단순 IP 평판 목록을 넘어 통신사 레벨의 위협 인텔리전스, 디바이스 핑거프린팅, 행동 기반 봇 탐지를 함께 운용할 필요가 있습니다. 단일 신호에 의존하는 탐지 체계는 유사한 대체 네트워크가 등장할 경우 무력화될 가능성이 높기 때문입니다.
일반 사용자와 기업을 위한 보안 대응 권고
주거용 프록시 인프라는 일반 가구의 회선을 무단으로 전용하는 방식으로 운영되므로 사용자 측의 예방 조치가 매우 중요합니다. 단속 이후에도 유사한 봇은 지속적으로 신규 디바이스를 물색할 것으로 보입니다.
가정용 라우터 및 IoT 디바이스 점검 항목
- 라우터 관리자 페이지의 기본 비밀번호를 고유한 강력한 비밀번호로 즉시 변경
- 펌웨어를 최신 버전으로 유지하고 IoT 디바이스의 자동 업데이트 기능 활성화
- 불필요한 외부 접근 포트 비활성화 및 원격 관리 기능 차단
- 출시된 지 오래된 IoT 디바이스는 제조사 지원 종료 여부 확인 후 교체 검토
출구 트래픽 모니터링 및 평판 데이터 활용
기업의 경우 SIEM 또는 NDR 솔루션에서 비정상적인 아웃바운드 트래픽 패턴을 탐지하는 규칙을 강화해야 합니다. 특히 상이한 지리적 지역으로 동시에 발신되는 다수 연결, 비표준 포트에서의 지속적 트래픽, 사용자 수 대비 비정상적으로 많은 세션 수 등은 감염 징후일 가능성이 높습니다. 또한 구글 위협정보그룹과 같은 공개 위협 인텔리전스 보고서를 정기적으로 구독해 평판 데이터베이스를 최신으로 유지하는 것이 권고됩니다.
정리하면
- 구글 GTIG는 FBI 및 유룸과 공조해 2백만 대 규모의 넷넛 주거용 프록시 인프라를 사실상 축소하는 데 성공했습니다.
- 넷넛은 팝파라는 명칭으로도 추적되며 크리덴셜 스터핑과 어뷰즈 등 다양한 범죄에 악용된 것으로 분석됩니다.
- 평판 데이터 일제 갱신과 통신사 레벨의 출구 분석이 결합된 이번 단속은 향후 유사 네트워크 억제의 모델 사례가 될 전망입니다.
- 일반 사용자는 라우터 및 IoT 디바이스의 비밀번호와 펌웨어를 즉시 점검해야 하며 기업은 행동 기반 봇 탐지 체계를 강화할 필요가 있습니다.
참고 출처: The Hacker News 원문 · Google Threat Intelligence Group