무료 앱이 스마트 TV를 AI용 웹 스크래핑 프록시로 조용히 전환한다
Source: The Hacker News
연구원은 Bright Data가 소비자 앱에 삽입한 iOS SDK를 역공학하고, 이 SDK가 항상 켜져 있는 스마트 TV를 포함한 기기들을 데이터 비즈니스를 위한 웹 스크래핑 트래픽을 중계하는 출구 노드로 전환하는 방식을 문서화했습니다. Bright Data는 AI 산업에 강하게 마케팅하고 있습니다.
Luminati의 후속 기업인 이 회사는 세계 최대 규모의 주거용 프록시 네트워크를 운영한다고 주장하며, 4억 개가 넘는 주거용 IP를 보유하고 있다고 광고합니다. 그 공급원 중 일부는 옵트인 화면 뒤에 숨겨진 무료 앱에 포함된 이 SDK에서 나오며, 1억 5천만 개 이상의 IP를 포함하는 동의 기반 풀이라고 설명됩니다.
Include Security와 독립 연구원 Buchodi가 6월 5일에 발표한 이 연구 결과는 스크래핑이 고객이 아닌 사용자의 가정 IP에서 이루어진다는 점에서 중요합니다. 즉시 위험은 계정 해킹이나 데이터 도난이 아니라, 가정 연결과 대역폭이 다른 사람의 스크래핑 인프라로 사용된다는 점입니다.
연결된 TV는 이 목적에 거의 완벽합니다. 보통 전원에 연결돼 있고, 빠른 연결을 사용하며, 사실상 무제한이며, 눈에 띄지 않기 때문입니다.
가장 깊은 기술적 증거는 iOS SDK에서 나오며, 스마트 TV에 대한 도달 범위는 Bright Data의 플랫폼 지원, 공개 파트너 목록, 그리고 이전 보도에 기반합니다. 연구진은 스크래핑 작업을 전달하는 피어 채널에 실질적인 인증이 없으며, iOS에서는 해당 트래픽이 설정된 VPN을 우회한다는 사실을 발견했습니다.
피어 터널 내부
앱이 열리면 SDK가 Bright Data 서버 중 하나에 연락하고, 서버는 요청자를 별도로 확인하지 않고 지시를 전달합니다. 이후 서버는 기기에 다른 웹사이트의 페이지를 가져오도록 명령할 수 있으며, 이때 사용자의 가정 인터넷 연결을 사용합니다.
연구원은 이러한 작업을 전달하는 채널에 일반적인 보안 검사가 전혀 없으며, 대부분의 악성코드에 내장된 제어보다도 약하다고 설명했습니다.
iPhone에서는 이 트래픽이 VPN을 통과하고, 앱이 수행하는 대부분의 동작이 보안 팀이 일반적으로 사용하는 앱 모니터링 도구에 나타나지 않는다고 밝혔습니다. 배터리가 충분히 남아 있는 한, 화면을 보거나 통화 중일 때도 백그라운드에서 계속 중계될 수 있습니다.
동의의 격차
옵트인 화면은 SDK가 실제로 허용하는 범위와 일치하지 않습니다. 예를 들어 Roku 앱인 Petflix에서는 화면에 “가끔” 기기와 연결을 사용할 것이라고 표시했습니다.
하지만 SDK가 로드하는 설정은 월 최대 200 GB의 트래픽을 허용합니다. 우즈베키스탄, 오만 등 몇몇 국가에서는 제한이 훨씬 높게 설정돼 있으며, 배터리가 완전히 방전될 때까지 기기가 계속 작동하도록 허용됩니다. 또한 SDK는 같은 회사의 앱을 사용하는 사용자의 전화와 컴퓨터를 하나의 사용자로 묶을 수도 있습니다.
Bright Data는 누구나 열어볼 수 있는 페이지에 앱 파트너 목록을 공개하고 있으며, 여기에는 PlayWorks Digital, CloudTV, Longvision 등 스마트 TV 앱 제작사가 포함됩니다. 연구원은 목록에 있다는 것이 해당 회사가 과거에 Bright Data와 협업했음을 의미할 뿐, 현재 그 앱에 SDK가 포함돼 있다는 뜻은 아니라고 주의했습니다. 각 앱은 별도로 확인이 필요합니다.
AI 수요에 의해 다시 살아난 오래된 모델
이 현상이 새로운 형태라기보다 규모가 커진 것일 뿐입니다. Bright Data는 Hola VPN에서 파생된 유료 프록시 서비스 Luminati의 후속 기업입니다. 2015년 Hola는 무료 사용자의 대역폭을 Luminati를 통해 판매한 것이 드러났으며, 기가바이트당 20 달러에 판매했습니다. 같은 모델이 이제 거실에 있는 항상 켜져 있는 박스에서 작동하고 있습니다.
변화된 점은 구매자입니다. Cloudflare, DataDome 등에서 제공하는 안티봇 방어가 데이터센터 IP에서 오는 스크래퍼를 차단하면서, AI 스크래퍼는 주거용 연결을 통해 라우팅하게 되었습니다.
Krebs는 2025년 10월에 Aisuru와 같은 봇넷이 AI 데이터 수집을 위해 대규모 프록시를 제공하고 있다고 보도했으며, Google은 1월에 범죄 프록시 네트워크 IPIDEA를 해체했습니다. 이러한 운영은 소비자 기기를 탈취하지만, Bright Data는 출구 노드가 동의 화면을 통해 옵트인한다고 주장합니다. 즉, 동의 여부가 두 경우를 구분하는 선이며, 그 의미가 충분한지는 아직 논쟁 중입니다.
The Verge가 소싱한 Lowpass는 2월에 스마트 TV 관점을 처음 제시했으며(기사 링크), 이번이 기술적 해부입니다. 이후 Google, Amazon, Roku는 백그라운드 프록시 SDK를 제한했으며, Bright Data는 해당 플랫폼을 포기했지만 여전히 Samsung Tizen과 LG webOS를 목록에 남겨두고 있습니다.
대처 방안
트래픽은 식별하고 차단하기가 쉽습니다. 가정 네트워크에서는 라우터 수준 도구(Pi-hole, NextDNS 등)를 사용해 SDK가 연결하는 웹 주소를 차단하는 것이 가장 간단한 방법입니다.
주요 도메인은 proxyjs.brdtnet.com, proxyjs.luminatinet.com, proxyjs.bright-sdk.com, clientsdk.bright-sdk.com, clientsdk.brdtnet.com 입니다. 연구에 따르면 이들을 차단하면 장치가 중계 역할을 하는 것을 막을 수 있으며, Bright Data의 유료 서비스(별도 주소 사용)에는 영향을 주지 않습니다.
직원 휴대폰을 관리하는 기업은 SDK가 포함된 앱을 스캔할 수도 있습니다. 다만 모바일 연결에서는 트래픽이 사무실 Wi‑Fi를 우회해 이동하므로 네트워크 차단만으로는 완전히 차단되지 않을 수 있습니다. 또한 Bright Data가 향후 SDK 연결 방식을 바꿀 가능성도 있으니 차단 리스트는 지속적으로 업데이트해야 합니다.
이 기