jacobhan.me
사이버 보안

당신의 인터넷이 범죄에 임대되고 있다 — 스마트 기기 속 숨은 백도어와 주거용 프록시 봇넷

스마트 도어벨, 보안 카메라, 온도조절기, 태블릿, 스트리밍 박스. 집은 인터넷에 연결된 기기로 가득하다. 그런데 그중 상당수, 특히 온라인에서 싸게 산 무명 제품에는 '백도어'라 불리는 비밀 통로가 숨어 있다.

이 통로는 누군가가 당신 집의 인터넷에 몰래 올라타도록 열어 둔다. 그 누군가에는 범죄자도 포함된다. 그리고 지금, 그렇게 빌린 가정용 회선이 모여 역사상 가장 큰 사이버 공격을 만들어 내고 있다.

01거실의 기기가 어떻게 공격 인프라가 되나

문제의 핵심은 저가의 인터넷 연결 기기다. 미 연방수사국(FBI)은 2025년 6월, 가정용 사물인터넷(IoT, Internet of Things) 기기를 노린 대규모 악성코드 감염을 공개적으로 경고했다. BADBOX 2.0이라 불리는 이 봇넷은 100만 대가 넘는 기기를 감염시킨 것으로 파악됐다. 표적이 된 제품은 텔레비전 스트리밍 박스, 디지털 프로젝터, 디지털 액자, 차량용 애프터마켓 인포테인먼트 기기 등이며, 대부분 중국에서 제조됐다.

감염 경로는 두 갈래다. 하나는 공장에서 출고되기 전에 악성코드를 미리 심어 두는 것이고, 다른 하나는 사용자가 기기를 처음 설정하는 과정에서 '필수 앱'이라며 백도어가 든 프로그램을 내려받게 만드는 것이다. 즉 상자를 뜯기도 전에 이미 감염된 제품일 수 있고, 사용자가 직접 감염을 완성시키기도 한다. BADBOX는 2023년에 처음 확인돼 2024년에 1차로 와해됐지만, 더 교묘해진 후속판 BADBOX 2.0이 그 자리를 메웠다. 이런 기기들은 정식 안드로이드 TV 운영체제나 구글의 Play Protect 인증을 받지 못한 안드로이드 오픈소스(AOSP, Android Open Source Project) 기반 제품에 집중돼 있다. 이 악성코드가 든 제품은 일부 주요 온라인 유통 채널에서까지 팔린 사례가 보고됐다.

02백도어란 무엇인가

백도어(backdoor)는 정상적인 인증 절차를 거치지 않고 기기나 네트워크에 들어갈 수 있도록 만들어 둔 숨은 출입구다. 정문(아이디·비밀번호)과 달리, 백도어는 만든 사람만 아는 뒷문이다. 일단 기기가 인터넷에 연결되면, 이 뒷문은 외부의 명령·제어(C2, Command and Control) 서버와 손을 잡고 지시를 받기 시작한다.

비유로 이해하기

백도어는 이사 오기 전에 누군가가 우리 집 뒷문 열쇠를 복제해 모르는 사람에게 미리 쥐여 준 것과 같다. 현관문은 멀쩡히 잠겨 있고 집은 평소처럼 돌아가지만, 뒷문으로는 낯선 이가 언제든 드나든다. 정작 집주인은 누가 들어와 무엇을 하고 나갔는지조차 알지 못한다.

03주거용 프록시 — 당신의 회선이 상품이 된다

감염된 기기가 C2 서버에 연결되면, 그 백도어는 흔히 주거용 프록시(Residential Proxy) 업체의 중계 서버로 이어진다. 주거용 프록시 업체는 평범한 가정의 인터넷 연결을 돈을 받고 고객에게 빌려주는 사업을 한다. 고객은 그 회선을 빌려, 마치 그 집에서 접속하는 것처럼 위장한 채 인터넷을 사용한다.

주거용 프록시 경로범죄 이용자가 프록시 업체를 거쳐 감염된 가정용 기기의 IP로 표적 서버에 접속하는 흐름 주거용 프록시(Residential Proxy)가 당신의 인터넷을 빌려 쓰는 법 범죄 이용자 (유료 고객) 주거용 프록시 업체 (중계 서버) 당신의 감염 기기 (집 IP 주소) 표적 서버 (웹사이트) 요청 IP 우회 위장 접속 표적 서버 입장에서는 평범한 가정집에서 온 접속으로 보인다. 진짜 범죄자의 위치와 신원은 당신의 IP 뒤에 가려진다.
그림 1. 범죄 이용자는 프록시 업체를 거쳐 감염된 가정용 기기의 IP 주소로 표적에 접속한다. 표적 서버에는 평범한 가정집에서 온 정상 접속으로 보인다.
비유로 이해하기

주거용 프록시는 남의 집 주소를 빌려 우편물을 부치는 것과 같다. 발신 주소에 우리 집 주소가 찍혀 있으니, 받는 쪽은 그 우편이 우리 집에서 왔다고 믿는다. 안에 무엇이 들었든, 추적은 우리 집에서 멈춘다. 진짜 보낸 사람은 그 뒤에 숨는다.

이 사업이 전부 불법인 것은 아니다. 기업이 자사 광고가 실제 사용자에게 어떻게 노출되는지 여러 지역의 관점에서 점검하는 등, 합법적인 용도도 존재한다. 문제는 같은 통로가 해킹, 은행 사기, 계정 탈취에도 그대로 쓰인다는 점이다. 미 국방부 산하 국방범죄수사국(DCIS, Defense Criminal Investigative Service)의 사이버 수사를 오래 맡아 온 특수요원 엘리엇 피터슨(Elliott Peterson)은 합법과 불법을 가르는 첫 번째 기준으로 기기 소유자의 동의 여부를 든다. 자기 회선이 공유되고 있다는 사실을 주인이 알고 허락했는가. 답이 '아니오'라면, 그 서비스에 정당한 용도란 사실상 없다는 것이 그의 판단이다. 실제로 사용자가 알고서 동의한 주거용 프록시를 찾기란 매우 어렵다.

04봇넷 탈취와 사상 최대 규모의 DDoS

여기서 상황은 한 단계 더 나빠진다. 해커들이 이 백도어 자체를 가로채는 방법을 알아냈기 때문이다. 본래 프록시 업체가 임대하던 가정용 회선들을, 해커가 통째로 장악해 자신의 봇넷(botnet)으로 흡수한다. 봇넷은 주인 모르게 원격 조종되는 '좀비' 기기들의 부대다. 이 부대의 대표적 무기가 분산 서비스 거부(DDoS, Distributed Denial of Service) 공격이다.

비유로 이해하기

DDoS는 "목요일 정오에, 아는 사람 수백만 명이 동시에 같은 가게로 전화를 걸자"고 약속하는 것과 같다. 가게 전화선은 곧바로 마비되고, 정작 필요한 손님은 연결조차 못 한다. 봇넷은 이 '수백만 명'을 사람이 아니라 우리 집 거실의 기기로 채운다. 그것도 주인이 전혀 모르는 사이에.

DDoS 봇넷 증폭감염된 가정용 기기 수백만 대가 동시에 정크 트래픽을 보내 표적 서버를 마비시키는 구조 봇넷 — 좀비가 된 기기들이 한 표적으로 트래픽을 쏟아붓는다 감염된 가정용 기기 (좀비) 스트리밍 박스 · 디지털 액자 · 공유기 등 수백만 대 표적 서버 접속 마비 정크 트래픽 동시 폭주 기록상 최대 약 30 Tbps(테라비트/초) — 대부분의 서버가 버틸 수 없는 규모다.
그림 2. 감염된 가정용 기기 수백만 대가 한 표적 서버로 동시에 트래픽을 쏟아부어 접속을 마비시킨다.

최근 몇 달 사이 보안 업계는 "역사상 가장 큰 규모"라는 표현을 반복해 써 왔다. 한 대표적 봇넷이 만들어 낸 공격 트래픽은 초당 약 30테라비트(Tbps)에 이르렀는데, 이는 기록상 최대치다. 대부분의 웹사이트는 이 정도의 유입 트래픽 앞에서 버티지 못한다.

05검거 — 오타와의 23세와 국제 공조

이 무기를 휘두른 인물 중 하나가 2026년 5월 검거됐다. 캐나다 온타리오주경찰(OPP)은 오타와에 사는 23세 남성 제이콥 버틀러(Jacob Butler)를 체포했다. 온라인에서 'Dort'라는 이름으로 활동한 그는 KimWolf라는 IoT 봇넷을 만들고 운영한 혐의를 받는다. 미 법무부(DOJ)에 따르면 KimWolf는 100만 대가 넘는 기기를 감염시킨 청부형 DDoS 서비스로, 약 30Tbps라는 기록적 공격을 일으켰고 일부 피해 기업의 손실은 100만 달러를 넘었다. 봇넷이 내린 공격 명령은 2만 5천 건 이상으로 집계됐다.

검거는 한 나라의 노력만으로 이뤄지지 않았다. 그에 앞서 2026년 3월 19일, 여러 나라의 수사기관이 공조해 KimWolf와 함께 Aisuru, JackSkid, Mossad 등 대형 IoT 봇넷의 명령·제어 인프라를 동시에 압수했다. 이 작전에는 미 법무부와 DCIS, 독일 연방범죄수사청(BKA, Bundeskriminalamt), 캐나다 왕립기마경찰(RCMP)과 온타리오주경찰, 퀘벡주경찰이 참여했고, 아마존웹서비스(AWS) 같은 기술 기업도 명령·제어 서버를 식별하는 데 기술적으로 협력했다. 이 네 개 봇넷이 감염시킨 기기는 합쳐서 300만 대가 넘는 것으로 추산된다.

주목할 점은 이 감염이 가정집에만 머무르지 않았다는 사실이다. 수사 기록에 따르면 미 국방부 정보망(DoDIN, DoD Information Network)에 속한 IP 주소까지 KimWolf에 감염돼 공격에 강제 동원됐다. 이런 봇넷이 처음 등장한 것도 아니다. 2024년에는 1,900만 개가 넘는 IP를 끌어모은 주거용 프록시 서비스 '911 S5'의 운영자 윤허 왕(YunHe Wang)이 검거됐는데, 그가 하이재킹한 IP 주소를 팔아 벌어들인 돈은 약 9,900만 달러로 추정됐다.

06왜 일반 소비자가 신경 써야 하나

이유는 두 층위다. 첫째, 나 자신을 위해서다. 감염된 기기는 가정의 데이터와 인터넷 연결을 위험에 빠뜨린다. 둘째, 더 넓게 보면, 내 거실의 작은 기기가 나도 모르는 사이에 광고 사기, 티켓 스캘핑, 금융 사기, 심지어 국가 대 국가의 사이버 공격에 동원될 수 있다. 다른 나라를 겨냥한 국가급 공격의 말단 발사대가, 다름 아닌 우리 집 거실에 놓인 기기인 셈이다. 누구도 일상의 디지털 기기에 그런 역할을 맡기고 싶어 하지 않는다.

07자가 점검과 대응

수사기관이 권고하는 대응은 거창하지 않다. 핵심은 의심스러운 저가·무명 기기를 경계하고, 감염 통로를 차단하는 것이다.

수사 현장에서는 감염이 의심되는 기기를 외부 신호가 차단되는 패러데이 상자(Faraday cage) 안에 넣고 분석하기도 한다. 기업 네트워크나 주변 기기로 감염이 번지지 않도록, 의심 기기를 철저히 격리한 상태에서만 다루기 위해서다. 그만큼 이 기기들이 위험한 통로로 취급된다는 뜻이다.

08거실의 부품, 인터넷의 무기

감염된 기기의 규모를 두고는 수천만 대에서 1억 대, 많게는 5억 대 이상이라는 추정까지 나온다. 정확한 숫자를 아무도 단언하지 못한다는 점이 이 생태계의 가장 까다로운 대목이다. 분명한 것은, 이 흐름을 잡지 못하면 지금까지보다 훨씬 큰 공격이 머지않아 닥친다는 경고가 보안 전문가들 사이에서 반복되고 있다는 사실이다.

우리는 흔히 사이버 공격을 멀리 떨어진 추상적 위협으로 여긴다. 그러나 그 공격의 한 부품은 의외로 가까이, 바로 거실 선반 위 디지털 액자나 텔레비전 옆 스트리밍 박스 안에 들어 있을 수 있다. 싸게 산 작은 기기 하나가, 인터넷 전체를 흔드는 무기의 일부가 되는 시대다.