구글, 전 세계 해커들의 'IP 은신처' 급습… 안드로이드 기기 900만 대 해방

중국 아이피디아.jpg — 중국 프록시 네트워크 서비스 회사인 아이피디아(Ipidea)의 로고. /출처=아이피디아 홈페이지

[시큐리티팩트=김상규 기자] 구글 위협 정보 그룹(GTIG, Google Threat Intelligence Group)이 사이버 공격의 은신처로 악용되어 온 세계 최대 규모의 '주거용 프록시(Residential Proxy, 가정용 IP 우회)' 네트워크인 아이피디아(IPIDEA)를 상대로 대대적인 소탕 작전을 전개했다.

IPIDEA는 전 세계 약 9000만 개 이상의 IP 주소를 보유한 중국 선전 소재 세계 최대 규모의 '주거용 프록시' 서비스 업체다. 이들은 일반 사용자의 기기를 공격자의 경유지로 제공하며 사이버 범죄의 은신처 역할을 해온 것으로 드러났다.

구글은 지난 28일 미국 연방법원의 명령을 확보해 IPIDEA가 운영하던 핵심 C2(Command and Control, 명령 제어) 도메인과 마케팅 도메인 수십 개를 압류·삭제했다. 이와 동시에 구글 플레이 프로텍트를 통해 해당 네트워크와 연계된 악성 앱 600여 종을 안드로이드 생태계에서 퇴출했다.

이번 조치로 IPIDEA의 좀비 네트워크에 억류되어 외부 공격의 통로로 쓰이던 약 900만 대의 안드로이드 기기가 프록시 망에서 해방된 것으로 추정된다.

조사 결과 IPIDEA는 '360 프록시', '922 프록시' 등 수십 개의 서로 다른 브랜드로 위장해 서비스를 운영해왔다. 그러나 실상은 동일한 인프라와 관리 주체에 의해 통제되는 단일 조직임이 드러났다.

이들은 주로 무료 소프트웨어나 앱 내에 프록시 기능이 담긴 SDK(Software Development Kit, 소프트웨어 개발 키트)를 몰래 삽입하는 방식으로 일반 사용자의 IP(Internet Protocol, 인터넷 식별 번호) 주소를 탈취했다.

특히 이들 악성 앱은 사용자가 체감하기 어려운 백그라운드 환경에서 기기의 데이터와 대역폭을 무단 공유하도록 설계되어, 일반 사용자들은 자신의 기기가 범죄의 거점으로 이용되고 있다는 사실을 인지하기 매우 어렵다.

이렇게 확보된 주소는 해커들에게 판매되어 DDoS(Distributed Denial of Service, 분산 서비스 거부) 공격, 금융 사기, 국가 배후 해킹 그룹의 근거지로 활용됐다. 구글 GTIG의 수석 분석가 존 헐트퀴스트는 "IPIDEA 네트워크를 모니터링한 결과 단 일주일 만에 중국, 북한, 이란, 러시아와 연계된 550개 이상의 위협 그룹이 이를 이용하는 것을 확인했다"고 밝혔다.