구글, 세계 최대 악성 주거용 프록시 '넷넛' 차단 조치
구글TI그룹(Google Threat Intelligence Group, GTIG)은 미국 연방수사국(FBI) 및 업계 파트너들과의 공조로 세계 최대 규모 악성 주거용 프록시(residential proxy) 네트워크 중 하나인 '넷넛(NetNut)'을 차단하기 위한 조치를 취했다고 6일 밝혔다. 프록시 네트워크 산업은 운영자들이 봇넷 자원을 지속적으로 사고 팔며 서로 긴밀히 연결된 구조를 갖고 있다. 일명 '포파(Popa)'로도 알려진 넷넛은 세계에서 가장 크고 대중적인 악성 주거용 프록시 네트워크 중 하나다. GTIG는 올해 초 중국 IPIDEA 프록시 네트워크를 무력화한 데 이어, 넷넛이 악용한 수백만 대의 기기를 차단했다. 이번 조치는 넷넛 운영 기반에 타격을 줄 뿐만 아니라 전 세계 프록시 봇넷 생태계를 해체하기 위한 GTIG의 성과를 한 단계 끌어올렸다고 회사는 밝혔다. GTIG 추산에 따르면, 넷넛은 프록시 플러그인을 삽입하는 '배드 박스(Badbox) 2.0'과 같은 봇넷과 트로이 목마 애플리케이션을 통해 최소 200만 대의 기기를 감염시켜 제어하고 있다. 여기에는 스마트 TV와 스트리밍 박스(셋톱박스)도 대거 포함돼 있다. 지난 6월 한 주 동안 GTIG는 사이버 범죄 조직 및 스파이 활동 그룹을 포함한 316개의 고유한 위협 행위자가 넷넛을 통해 본래 IP를 숨기고, 패스워드 스프레이(password-spray) 공격을 감행, 피해 시스템 환경에 접근한 것을 확인했다고 설명했다. '패스워드 스프레이'는 보안 시스템 차단을 우회하기 위해 흔히 사용하는 것으로, 비밀번호를 다수의 계정에 대입하는 공격 수법이다. 특히 넷넛은 일반 가정의 스마트 기기를 해킹 트래픽이 빠져나가는 출구(exit node)로 전환해 홈 네트워크를 더욱 광범위한 인터넷 위협에 노출시킨다. 또한 정상적인 사용자가 해커로 오인받아 인터넷 서비스 제공업체(ISP)에 의해 접속을 차단당하거나 의심 계정으로 분류되는 피해를 입게 만든다. 이에 구글은 두 조치를 취했다. 첫째, 해킹 인프라 무력화다. 넷넛이 악성코드를 원격 제어(C2)하는 데 악용한 구글 계정과 서비스를 비활성화, 이들의 핵심 백엔드 인프라를 차단했다. 둘째, 악성 프록시 네트워크 생태계 단속이다. 구글 플레이 프로텍트(Google Play Protect)를 통해 사용자에게 자동으로 경고를 발송하고, 감염된 애플리케이션을 비활성화했다. 또 플랫폼 제공업체, 연구 기관, 사법 기관에 관련 기술 위협 인텔리전스를 즉시 공유했다.