당신의 스마트TV가 해커의 공격에 동원되고 있을지도 모른다

당신의 스마트TV가 해커의 공격에 동원되고 있을지도 모른다

봇넷프라이버시스마트TV안티스크레이핑주거용 프록시

데이터 소스:LWN + Lobsters + Spur.us + web research

2026년 6월 22일, 사이버 보안 회사 Spur가 조사 보고서 한 편을 발표했다. 이들은 LG webOS와 삼성 Tizen 두 대형 스마트TV 플랫폼의 앱 총 6,038종을 스캔했고, 그 결과는 불안했다. 그중 2,058종의 앱에 주거용 프록시 SDK가 내장돼 있었던 것이다. 비율로는 3분의 1이 넘는다. LG 플랫폼은 더 심각해서, 거의 절반의 앱이 백그라운드에서 사용자의 가정 IP 주소를 팔아넘기고 있었다.

이 앱들은 겉보기엔 어항 화면보호기, 시계, 카드 게임, 강아지 배경화면이다. 화면 위의 그림은 평온하기 그지없지만, 저수준의 코드는 당신의 네트워크로 남을 위해 일하고 있다.

스마트TV 플랫폼 프록시 SDK 보급률 통계: LG webOS는 거의 절반의 앱에 프록시 코드가 내장돼 있다 ▲ 이미지 출처: Spur.us 조사 보고서. 가로축은 플랫폼, 세로축은 앱 수, 빨간색은 프록시 SDK가 검출된 앱.

주거용 프록시란 무엇인가

이 사안을 이해하려면 먼저 하나의 개념을 이해해야 한다. 인터넷상의 모든 기기에는 IP 주소가 있고, 웹사이트는 IP 주소로 방문자가 어디에서 왔는지 판단한다. 전통적인 데이터센터 서버의 IP 주소는 쉽게 식별된다. 서비스 제공자에게 이미 만들어진 IP 대역 데이터베이스가 있어, 한눈에 “이건 실제 사람이 아니다”라는 걸 알 수 있다. 그래서 스크레이핑을 하는 사람들은 진작에 자기 서버로 직접 데이터를 긁어오는 것을 포기했다.

이들의 새 방안은 이것이다. 평범한 가정의 네트워크 출구를 빌리는 것. 이런 서비스를 “주거용 프록시(residential proxy)“라고 부른다. 당신 집의 광대역 IP와 옆집 이웃의 광대역 IP는 완전히 똑같아 보인다. 둘 다 통신사가 주거용 사용자에게 할당한 실제 주소이기 때문이다. 웹사이트는 이런 방문자를 보고 그것이 실제 사람인지 기계인지 거의 판단할 수 없다.

주거용 프록시는 어떻게 생겨날까? 두 가지 경로가 있다. 첫 번째는 순전히 악의적인 것이다. 악성 소프트웨어로 사용자의 컴퓨터나 휴대폰을 감염시켜, 몰래 이 기기들을 프록시 노드로 조종한다. 올해 초 Google은 FBI와 손잡고 IPIDEA라는 봇넷을 소탕했고, 뒤이어 NetNut도 소탕했다. LWN 사이트의 운영자 Jonathan Corbet은 7월 10일 글에서, IPIDEA가 폐쇄된 뒤 사이트가 받는 스크레이퍼 공격이 한두 달간 눈에 띄게 줄었다가—이내 다시 되살아났다고 언급했다.

두 번째는 “떳떳한” 방식이다. 프록시 회사가 SDK(소프트웨어 개발 키트)를 제공하여, 앱 개발자가 자기 제품에 코드 한 조각을 끼워 넣게 한다. 사용자가 앱을 열면 동의 창이 하나 뜨고, 체크하면 앱은 백그라운드에서 사용자의 네트워크 연결을 호출해 외부 트래픽을 전달할 수 있게 된다. 앱 개발자는 돈을 받고, 프록시 회사는 노드를 얻으며, 사용자는 “무료”거나 “광고 제거”된 앱을 얻는다. Bright Data는 이 분야에서 가장 눈에 띄는 플레이어 중 하나다. 심지어 “무료” VPN을 제공하는데, 조건은 사용자가 자기 기기도 Bright Data 프록시 네트워크의 노드가 되는 것에 동의하는 것이다.

TV는 왜 완벽한 프록시 호스트가 되었나

휴대폰과 컴퓨터에서 프록시를 돌리면 사용자는 언젠가 알아챈다. 휴대폰 배터리가 빨리 닳고, 데이터 요금이 이상하며, 팬이 윙윙 돈다. 하지만 TV는 다르다. Spur 보고서에는 정확한 묘사 한 대목이 있다.

스마트TV는 거의 이상적인 프록시 호스트다. 이들은 집 안의 다른 기기와 같은 네트워크에 있지만, 사람들은 TV를 “컴퓨터”라고 여기지 않기에 컴퓨터를 점검하듯 TV를 점검하는 일이 거의 없다. 감지할 만한 배터리 소모도, 폭증할 데이터 요금도, 앱 전환기에 뜨는 수상한 백그라운드 활동도 없다. TV 한 대는 전원을 꽂고, 계정을 로그인하고, 네트워크에 연결된 채 몇 년을 버틸 수 있으며, 주인은 그저 그것을 가구 한 점으로 여길 뿐이다.

이 인식의 격차가 동의 절차의 함량을 결정한다. 사용자가 리모컨으로 TV에 앱을 설치할 때, 뜨는 동의 창은 흔히 빠르게 건너뛰어진다. 리모컨 조작 자체가 이미 충분히 피곤한데, 누가 약관을 한 자 한 자 읽겠는가? 더 결정적인 것은, 이 SDK들의 “동의”가 보통 단 한 번이면 된다는 점이다. 당신이 동의를 누르면, 프록시 서비스는 백그라운드에서 계속 돌아간다. 당신이 앱을 끄고 다른 채널로 넘어가도 그것은 여전히 일하고 있다.

Spur의 연구팀은 몇몇 전형적인 동의 화면을 캡처했다. 그중 Pac-Man(팩맨)이 삼성 Tizen 플랫폼에서 취한 방식이 가장 “솔직”했다. 사용자에게 두 가지 모드 중 하나를 직접 고르게 한 것이다. 광고를 보고 게임을 하거나, 아니면 Bright Data의 프록시 서비스를 받아들이고 광고 없이 게임을 하거나. “당신의 네트워크 연결로 웹 인덱싱을 한다”, 이것이 원문이다. 전형적인 수익화 분기점이다. 당신의 주의력이든 당신의 IP든, 하나는 내야 한다.

삼성 Tizen에서 Pac-Man의 동의 화면: 광고를 보거나 프록시 노드가 되거나, 둘 중 하나 ▲ 이미지 출처: Spur.us 조사 보고서. Pac-Man은 사용자에게 “광고 있음”과 “광고 없지만 네트워크 연결 공유” 중 하나를 고르게 한다.

누가 이 앱들을 만드는가

Spur의 연구는 더 깊은 패턴 하나도 드러냈다. 많은 사례에서, 프록시 회사 자신이 곧 앱의 배포자였다. Bright Data 및 관련 명칭은 데이터셋에서 프록시로 표시된 앱 367개를 차지했다. Honeygain(Oxylabs의 자회사)은 배포자로 16회 등장했다.

이는 적잖은 앱이 처음부터 “정상적인 앱이 마침 프록시 SDK를 내장한” 것이 아님을 뜻한다. 이들은 오히려 “퍼스트파티 프록시 재고”에 가깝다. 조잡하게 만든 캐주얼 게임, 화면보호기, 도구 껍데기를 대량 배포하는 목적은 SDK에 실행 환경을 하나 마련해 주는 것이다. 앱은 포장지이고, 주거용 IP가 진짜 상품이다.

안티스크레이핑 방안이 무너지고 있는 이유

주거용 프록시 네트워크의 존재는, 사이트 운영자들이 배치한 안티스크레이핑 보호를 곧바로 무용지물로 만든다.

Anubis를 예로 들어 보자. 이 오픈소스 도구는 웹사이트에 접근하기 전 브라우저에게 “작업 증명(Proof of Work)” 계산 문제를 풀게 하여, JavaScript를 실행하지 않는 스크레이퍼 프로그램을 걸러낸다. 2025년 이후, 스크레이퍼 공격에 시달려 다운된 수많은 사이트가 Anubis를 배치했다. LWN 운영자는 최근 LWN 한 사이트만 해도 역사상 가장 맹렬한 스크레이퍼 공격을 겪었지만, 미리 배치한 방어 조치 덕분에 대다수 독자는 이를 알아채지도 못했다고 언급했다.

하지만 문제는, Anubis가 막는 것이 진짜 악의적 스크레이퍼인가, 아니면 우연히 JS를 꺼 둔 평범한 사용자인가 하는 점이다. 개발자 Farid Zakaria는 7월 9일 블로그 글에서 우울한 답을 내놓았다. 그는 AI의 도움을 받아 Anubis를 전문적으로 우회하는 도구 anubis-fetch를 아주 짧은 시간 만에 만들어냈다. 스크레이퍼 쪽에게 Anubis의 계산 문제를 푸는 것은 일회성 비용이다. 쿠키를 받아낸 뒤에는 캐시해서 재사용할 수 있다. 반면 실제 사용자에게는, 새 사이트를 열 때마다 몇 초씩 로딩 화면과 CPU 연산을 기다려야 하고, 게다가 사용자마다 각자 기다려야 하니 “분담”할 수도 없다.

Zakaria의 글 제목이 곧 그의 결론이다. Who does Anubis actually stop?(Anubis는 대체 누구를 막는가?) 막으려던 목표는 손쉽게 우회했고, 오히려 오폭당한 것은 낡은 휴대폰, 텍스트 브라우저, 스크린 리더로 웹에 접근하는 진짜 사용자들이다.

그리고 주거용 프록시는 이 문제를 한층 더 답이 없게 만든다. 스크레이퍼가 당신 집 TV의 IP 주소로 다닐 때, 웹사이트가 보는 “방문자”는 옆집 아저씨가 브라우저를 열고 웹에 접근하는 것과 아무런 차이가 없어 보인다. 이 IP를 차단하면, 진짜 한 가정의 모든 네트워크 접근을 차단해 버리는 것이다. LWN 댓글의 사용자 splitbrain은 정곡을 찔렀다. 주거용 프록시 스크레이퍼를 막는 데는 버튼 하나와 쿠키 하나면 충분하며, 복잡한 PoW는 전혀 필요 없다는 것이다. 하지만 문제는—어느 IP 뒤에서 TV가 일하고 있는지 당신이 어떻게 알겠는가?

플랫폼의 입장 분화

이 국면 앞에서, 서로 다른 TV 플랫폼의 태도는 이미 뚜렷하게 갈렸다.

아마존의 Fire TV 플랫폼은 기기 및 시스템 오남용 정책에서 앱이 제3자에게 프록시 서비스를 제공하는 것을 명확히 금지한다. Roku는 Lowpass(The Verge 재게재)의 보도에 따르면, 이미 개발자가 Bright SDK 및 유사 프록시 서비스를 쓰는 것을 금지했으며, 언론의 연락을 받은 뒤 관련 앱들이 플랫폼에서 사라졌다.

하지만 LG와 삼성은 현재까지 동등한 공개적 레드라인을 긋지 않았다. Spur의 연구 데이터는, 아마존과 Roku가 명확히 금지한 비즈니스 모델이 webOS와 Tizen에서는 여전히 대규모로 존재함을 보여준다.

LWN 글의 마지막에서 Jonathan Corbet은 마음을 울리는 한 대목을 썼다. 이런 공격 뒤의 산업은 독립 사이트를 폐허로 만드는 것에 전혀 개의치 않는 듯하다—데이터만 손에 넣으면 그만이라는 것이다. 이런 태도는 웹사이트만이 아니라 지구와 그 경제로도 뻗친다. 어떤 이들은 이런 생각에 반대하며 계속 맞서 싸울 것이다. 어쩌면 언젠가 이 세계가 대형 모델 기업과 그 관련 기술에 최소한의 윤리적 하한선을 정하기로 결정할지도 모른다. 하지만 그날이 오기 전까지, 이런 행위는 멈추지 않을 것이고, 우리도 스스로를 지키는 것 외에는 달리 선택지가 없다.

스크레이퍼만이 아니다

또 하나 진지하게 받아들여야 할 차원이 있다. 어떤 앱이 당신의 가정 네트워크 안에서 프록시 권한을 얻게 되면, 위험은 “누군가 당신의 공인 IP를 빌려 쓴다”에만 그치지 않는다. 프록시 제공자가 요청이 사설 주소나 로컬 주소에 접근하는 것을 허용하기로 선택한다면—혹은 그들의 필터링 메커니즘이 실패한다면—이 TV는 공격자가 당신 집 내부 네트워크로 들어오는 발판이 될 수 있다. 라우터 관리 페이지, NAS 스토리지, 프린터, 카메라, 개발 머신, 그리고 로컬 포트에서 수신 대기하는 모든 애플리케이션이 대상이 된다.

이것은 가정이 아니다. 2026년 1월, KrebsOnSecurity는 Kimwolf라는 봇넷을 보도했다. 이 봇넷은 주거용 프록시 네트워크를 이용해 프록시 노드가 위치한 로컬 네트워크로 역방향 침투하여, 한층 더 확산됐다.

필자의 판단은 이렇다. 이 공방의 본질은 기술에 있지 않다. 주거용 프록시의 비즈니스 모델이 성립하는 이유는, 그것이 “사용자가 충분히 알고 동의했는가”라는 문제를 앱 개발자에게 외주로 넘겼기 때문이다. 그리고 개발자가 받는 인센티브는 돈이지, 사용자의 안전이 아니다. TV의 기본 정체성이 “연결된 컴퓨터”가 아니라 “가구”일 때, 리모컨 한 번의 클릭이 백그라운드 프록시를 영구히 승인할 수 있을 때, 시스템 전체의 책임 사슬은 끊어져 버린다.

참고 링크:

  • LWN: An update on the scraper situation
  • fzakaria: Who does Anubis actually stop
  • Spur.us: Nearly Half of LG Smart TV Apps Contain Residential Proxy SDKs
  • Lobsters 토론 (item?id=kpaxih)
  • Lobsters 토론 (item?id=ktew3s)