1000만 대의 TV가 감염되다: 당신의 거실이 해커의 공범일 수 있다

1000만 대의 TV가 감염되다: 당신의 거실이 해커의 공범일 수 있다

IoT보안스마트홈개인정보

데이터 소스:Lobsters + web research · HN

2026년 7월 2일, 미국 연방수사국(FBI)은 수백 개의 도메인을 압수했다. 이 도메인들 뒤에 연결된 것은 200만 대가 넘는 일반 가정의 스마트 TV와 셋톱박스였다. 그들은 몰래 악성 프로그램을 심었다. 당신이 전혀 모르는 사이에, 당신의 가정 네트워크를 범죄자들의 ‘중계 기지’로 바꿔버렸다.

올해 6월, 보안 연구원 Xe Iaso는 자신의 블로그에 짧은 글을 하나 올렸다. 제목은 ‘당신은 스마트 가전을 한번 점검해야 할 것 같습니다’. 글은 Anubis 안티봇 시스템의 허니팟 데이터 한 세트를 인용했다. 차단한 크롤러 트래픽 중 89.3%가 어떤 위협 감시 명단에도 없는 IP 주소에서 왔다 — 260만 개가 넘는 개별 IP, 전부 일반 가정용 광대역 주소였다. Iaso는 이 트래픽의 대부분이 장악당한 스마트 가전 — TV, 냉장고, 공유기, 심지어 디지털 액자 — 에서 온다고 추정했다.

게시물은 기술 커뮤니티 Lobsters에서 73표를 받았지만, 댓글창은 난처한 사실 하나를 드러냈다. 보안계는 이들 기기가 안전하지 않다는 것을 알고 있다, 문제는 — 어떻게 점검할 것인가? 어떻게 발견할 것인가? 어떻게 처리할 것인가? 이에 대해, 보편적인 답을 가진 사람은 아무도 없었다.

스마트홈 기기 연결 도해도 그림: 현대 가정의 스마트 기기는 모두 인터넷에 연결되어 있어, 각각이 공격 입구가 될 수 있다. 출처: 네트워크

공상과학 영화가 아니다: 당신의 TV는 진짜로 남을 위해 ‘일하고’ 있다

만약 ‘스마트 가전이 해킹당했다’가 기술계의 기우에 불과하다고 생각한다면, 아래 숫자들은 한번 보길 권한다.

2025년 말, Google 보안 팀은 BadBox 2.0이라는 봇넷을 공개했다. 그것은 안드로이드 시스템을 탑재한 기기 1000만 대 이상을 감염시켰다 — 스마트 TV, 셋톱박스, 태블릿, 디지털 프로젝터. 가장 핵심적인 것은, 악성 프로그램이 사용자가 직접 내려받은 것이 아니라는 점이다. 그것은 출하될 때 기기에 미리 설치되어 있었다. 당신이 매장이나 온라인에서 산 그 싸구려 무명 셋톱박스는, 포장을 뜯는 순간 이미 범죄 네트워크의 하나의 노드였다.

2026년에 이르러, Popa라는 봇넷이 또 나타났다. 이번 규모는 ‘겨우’ 200만 대가 넘는 기기지만, 그 비즈니스 모델은 더 완전했다. Popa는 이 장악당한 기기들의 네트워크 트래픽을 NetNut라는 ‘주거용 프록시 네트워크’로 묶어, 실제 IP를 숨기려는 사람들에게 정가를 매겨 팔았다 — 광고 사기 조직, 크리덴셜 스터핑 해커, AI 회사의 대량 크롤러, 심지어 국가급 정보 수집 작전까지. Google의 위협 정보 팀은 일주일 만에 NetNut의 노드를 사용하는 316개의 서로 다른 범죄 조직을 관찰했다. 그리고 NetNut를 운영하는 회사 Alarum Technologies는 나스닥에 상장된 이스라엘 기업이다.

FBI는 올해 7월 2일 NetNut의 도메인을 압수했다. 하지만 도메인 하나를 압수하는 것과 200만 노드짜리 봇넷을 해체하는 것은 별개 문제다.

사물인터넷 봇넷 공격 도해도 그림: IoT 봇넷은 수많은 가정의 기기를 공격 도구로 만든다. 출처: 보안 연구 보고서

당신의 TV는 어떻게 ‘당하는’가?

TV를 살 때, 이를 컴퓨터로 여기는 사람은 드물다. 하지만 사실, 지금의 스마트 TV는 완전한 운영체제를 돌린다 — Android TV, Tizen, webOS — 책상 위 노트북처럼 프로세서도, 메모리도, 네트워크 연결도 있고, 공격받을 수 있는 취약점도 있다.

보통의 스마트 TV는 보통 다음과 같은 ‘공격 입구’를 가진다.

  • 출하 시 미리 설치된 악성 프로그램(BadBox 2.0이 바로 이 방식): 공급망 단계에서 이미 심어지며, 사용자가 집에 가져오는 순간 이미 감염되어 있다.
  • 앱 스토어의 ‘트로이 목마’: 보안 연구 기관이 LG webOS 앱 스토어를 조사한 결과, 42%가 넘는 앱에 프록시 SDK가 내장되어 있어, 사용자의 TV를 트래픽 중계 노드로 만들 수 있었다. 삼성 Tizen 플랫폼은 사정이 조금 나았지만, 역시 4분의 1이 넘는 앱이 같은 SDK를 지니고 있었다. 이들 SDK는 동영상 플레이어, 화면 보호기, 시스템 도구 속에 숨어 있어, 팝업도 띄우지 않고, 권한도 필요 없고, 설치되자마자 돌아간다.
  • 불법 복제 TV 앱: 이것은 Lobsters 토론에서 여러 보안 종사자가 거듭 언급한 쟁점이다. 많은 사람이 무료로 드라마를 보려고 출처가 불분명한 제3자 앱을 TV에 설치한다. 이런 앱에는 악성 코드가 끼어드는 경우가 많고, TV 시스템에는 휴대전화처럼 권한 관리 기능도 없고 앱 심사 메커니즘도 없다.
  • 원격 디버깅 포트: 일부 안드로이드 TV는 기본으로 ADB 디버깅 포트(5555 포트)를 열어두어, 공격자가 네트워크를 통해 기기에 직접 접속해 완전한 제어권을 얻을 수 있다. 2026년 5월 발견된 xlabs_v1 봇넷은 바로 이 포트를 스캔해 좀비 기기를 모집했다.

이것들을 이어보면, 하나의 완전한 공격 사슬이 나온다. 무명 제조사는 비용을 깎으며 ‘스마트’를 팔점으로 내세우지만 보안에는 한 푼도 쓰지 않는다; 제3의 SDK 공급업체는 프록시 기능을 ‘광고 기술’로 포장해 합법적 얼굴로 앱 스토어에 섞여든다; 사용자는 무료 콘텐츠를 위해 불법 복제 앱을 설치한다; 범죄자는 이 노드들을 빌려, 당신의 가정 IP로 자기들의 일을 한다.

왜 당신 집 인터넷이 느려졌는가 — 장악당한 결과

감염된 스마트 TV 한 대는 보통 당신이 직접 느낄 수 있는 이상을 보이지 않는다. ‘남을 위해 일하고 있다’고 팝업을 띄우지도 않는다. 하지만 당신이 보지 못하는 층위에서, 그것은 동시에 이런 일들을 할 수 있다.

  • DDoS 공격 노드가 되기: 당신의 TV와 수천, 수만 대의 다른 기기가 함께 어떤 사이트에 막대한 요청을 보내, 그것을 마비시킨다. 당신의 광대역이 꽉 차, 당신은 그저 ‘요즘 왜 이렇게 느리지’라고 느낄 뿐이다.
  • 암호화 트래픽 프록시가 되기: 범죄자는 당신의 가정 IP로 공격을 감행하고, 피싱 메일을 보내고, 크리덴셜 스터핑을 한다 — 수사관이 IP를 추적할 때, 마지막에 닿는 것은 당신 집이다.
  • 채굴: TV의 연산력은 제한적이지만, 수만 대를 모아 함께 채굴하면 전력 소비가 각 가정에 흩어져, 전기요금은 당신이 내고 수익은 그가 챙긴다.
  • 광고 사기: 당신이 보지 못하는 백그라운드에서, 당신의 기기가 사용자를 가장해 광고를 클릭하고 동영상을 재생하며, 범죄 조직이 광고주에게서 돈을 가로채게 돕는다.
  • 도청: 거의 모든 스마트 TV에는 마이크가 내장되어 있다(음성 제어용). 2015년 삼성은 자사의 음성 인식 기능이 주변 대화를 제3자에게 전송한다고 공개 인정한 바 있다. TV가 악성 프로그램에 장악되면, 마이크를 원격으로 활성화할 수 있다.

스마트 TV 보안 위험 그림: 스마트 TV 등 기기의 보안 취약점은 당신의 개인정보를 고스란히 드러낼 수 있다. 출처: 네트워크

문제는 이것: 내 TV에 문제가 있는지 어떻게 아는가?

이것은 Lobsters 토론에서 가장 추천을 받은 댓글이었다 — 원문 작성자 Iaso도 솔직히 답했다. 보편적인 방법은 없다.

왜일까? 스마트 TV는 폐쇄형 시스템이기 때문이다. 컴퓨터를 점검하듯 백신을 설치할 수도 없고, 프로세스 목록을 볼 수도 없다. 제조사는 그 권한을 주지 않는다.

가정 네트워크의 DNS 요청을 감시하자는 제안도 있었다 — 당신의 TV가 어떤 낯선 도메인과 통신하는지 보자는 것이다. 하지만 이 방법은 DoH(DNS-over-HTTPS, 즉 암호화 통로로 도메인을 조회하는 방식)를 쓰는 악성 프로그램에는 통하지 않는다. 공유기에서 트래픽 로그를 확인하자는 의견도 있었지만, 이는 펌웨어를 깔 수 있는 공유기가 필요하고, 로그 보는 법을 배울 시간을 들일 의지가 있어야 한다 — 일반 가정 사용자에게는 문턱이 너무 높다.

보안 커뮤니티의 합의는 대략 다음 몇 가지로 모인다.

첫째, 출처가 불분명한 TV 앱을 설치하지 마라. 특히 소위 ‘전 사이트 무료 시청’, ‘멤버십 없이 드라마 따라잡기’류 앱 — 그들은 자선 사업이 아니다. 당신이 치르는 대가는 당신의 가정 네트워크일 수 있다.

둘째, TV를 인터넷에 연결하지 마라. 농담이 아니다. 콘텐츠 재생에 외장형 Apple TV, Chromecast, 게임 콘솔을 쓴다면, 스마트 TV 본체의 인터넷 연결 기능은 완전히 끌 수 있다. 연결 기능을 산 사람 중 실제로는 HDMI 입력만 쓰는 경우가 많다 — 당신은 그 ‘스마트’ 부분을 전혀 쓰지도 않으면서 모든 보안 위험을 떠안는 셈이다.

셋째, 싸구려 무명 안드로이드 셋톱박스를 샀다면 특히 조심하라. 이들 기기는 BadBox 2.0의 중심 피해 지역이다 — 출하 즉시 감염되어, 당신이 할 수 있는 조치는 없다. 가장 안전한 방법은 인지도 낮은 브랜드를 사지 않는 것이다.

넷째, 공유기가 할 수 있는 일은 많지 않지만, 안 하는 것보다는 낫다. 공유기가 ‘게스트 네트워크’ 기능을 지원한다면, 스마트 가전을 게스트 네트워크에 따로 두어 휴대전화, 컴퓨터와 격리할 수 있다. 그러면 TV에 문제가 생겨도, 공격자가 그것을 통해 당신의 다른 기기의 데이터에 접근하지 못한다.

다섯째, 전기요금과 인터넷 속도의 변화를 주시하라. 집에 아무도 인터넷을 하지 않는 시간에도 공유기 표시등이 미친 듯 깜빡이거나, 전기요금에 뚜렷한 이상 증가가 있다면, 이는 하나의 신호일 수 있다 — 진단하기엔 부족하지만, 주의할 가치는 있다.

대항선: 편리함과 보안의 장기적 줄다리기

스마트 가전 보안 문제의 뿌리는 각 주체의 이해관계가 어긋난다는 데 있다.

제조사에게 ‘스마트’는 가격을 올리는 꼬리표다. 보통 TV가 2000위안이면, ‘AI 스마트 음성’을 붙이면 3500위안이 된다 — 늘어난 1500위안의 비용은 50위안짜리 칩 하나와 무료 오픈소스 안드로이드 시스템 한 세트일 수 있다. 보안 업데이트는? 사용자는 보지 못하고, 판매량에도 영향을 주지 않으니, 왜 투자하겠는가?

사용자에게 편리함은 실제 수요다. 음성으로 검색, 휴대전화 화면 미러링, 앱 리모컨 — 이런 것들은 다 쓰기 좋은 기능이다. 사용자에게 보안을 위해 편리함을 포기하라고 요구하는 것은 소비자 시장에서 유효한 전략이 된 적이 없다.

공격자에게 스마트 가전은 ‘완벽한 먹잇감’이다. 늘 온라인이고, 성능은 쓸만하고, 사용자는 절대 점검하지 않고, 제조사는 절대 패치하지 않는다. TV는 5년에서 10년 쓸 수 있지만, 그 시스템 보안 패치는 출하 후 2년째에 멈출 수 있다.

EU의 《사이버 회복력 법안》(Cyber Resilience Act)은 2027년 말부터 EU에서 판매되는 모든 연결형 기기에 보안 업데이트, 기본 보안 설정, 취약점 공개 의무를 요구한다. 이것은 하나의 방향이다. 하지만 전 세계적으로, 저가 기기 공급업체는 여전히 규제의 빈틈을 파고들어 불안전한 하드웨어를 규제가 느슨한 시장에 쏟아낼 수 있다.

필자는 여기서 ‘완전한 해결’의 방안을 제시하지 않는다 — 존재하지 않기 때문이다. 할 수 있는 것은, 충분히 많은 사람이 이 일을 인식하게 하고, ‘내 TV에 문제가 있을지도 모른다’는 생각이 더 이상 공상과학 영화 같은 생각이 아니게 하는 것이다. 결국 보안의 첫걸음은, 언제나 자신이 안전하지 않을지도 모른다는 것을 인정하는 데서 시작된다.

참고 링크:

  • Xe Iaso: You should probably check on your smart appliances
  • Lobsters 토론 (s/slrak5)
  • Google 공식 블로그: Taking legal action against BadBox 2.0 botnet
  • Hive Security: FBI Seizes NetNut — How a 2-Million-Device Proxy Botnet Hid Inside Smart TVs
  • Gblock: Your Smart TV Is Secretly Routing Hacker Traffic
  • SecurityWeek: Google Sues Operators of 10-Million-Device BadBox 2.0 Botnet