‘Popa’ 봇넷, 공개 상장 이스라엘 기업과 연관
지난 4년간, 대형 안드로이드 기반 봇넷인 Popa는 수천만 소비자용 TV 박스들을 광고 사기, 계정 탈취, 대규모 데이터 스크래핑과 연계된 인터넷 트래픽을 릴레이하도록 강제했습니다. 이번 주, 여러 보안 업체 연구원들은 팝아 봇넷이 NetNut(“주거용 프록시” 제공업체)이자 공개 상장 이스라엘 기업인 Alarum Technologies Ltd [NASDAQ: ALAR]에 의해 운영된다는 결론을 내렸습니다.
Malicious streaming devices sold online that enroll the user’s home Internet address in a residential proxy service. Image: HUMAN Security.
Popa는 대형 봇넷이지만, 모든 계정에서는 전통적인 봇넷과 다릅니다. 후자는 손상된 시스템을 활용해 대규모 DDoS 공격을 조율하는 등 파괴적인 활동을 수행합니다. 대신, Popa는 단일 목적을 구현하도록 설계되어 있습니다: 기기를 등록하고, 장수명간 암호화된 연결을 유지하며, 필요에 따라 통신 터널을 여는 지속적인 통신 레이어를 구축합니다.
전문가들은 Popa가 Vo1d 봇넷과 연관된 플러그인 구성 요소라고 말합니다. 이는 비공식 안드로이드 기반 TV 박스를 타깃으로 하는 대규모 악성코드 캠페인입니다. 이 장치들은 수천 개의 브랜드명과 모델 번호로 마케팅되며 주요 전자상거래 사이트에서 광범위하게 구매 가능하며, 모두 한 번에 구입하는 비용으로 수백 개의 구독형 비디오 서비스를 스트리밍할 수 있다고 홍보합니다.
하지만 FBI와 보안 업계 전문가들은 반복적으로 경고해 왔으며, 이러한 스트리밍 박스들은 보통 소프트웨어를 번들로 묶거나 사전 설치하고 있어 사용자의 TV를 “주거용 프록시”로 전환합니다 — 기기가 전원 콘센트에 연결되고 로컬 네트워크에 남아 있는 한 누구나 인터넷 트래픽을 해당 장치로 라우팅할 수 있습니다. 더 우려되는 점은, 이러한 프록시 네트워크 중 일부는 무관심한 장치 소유자의 로컬 네트워크에 있는 시스템을 통신하고甚至 compromise(해킹)하는 악의적인 고객을 막기 위해 거의 노력을 기울이지 않는다는 것입니다.
팝아의 기원에 대한 최초의 단서는 2025년 보고서에서 나온 것으로, 이는 중국의 보안 회사 XLAB가 최소 9개의 도메인 이름을 등록하고 손상된 장치의 활동을 directing(지향)하는 데 사용했음을 확인했습니다. 오늘 발표된 보고서에서 보안 업체 Qurium은 해당 동일한 도메인을 발견하면서, 2026년 5월에 자체 호스팅 조직을 대상으로 한 지속적이고 비용이 많이 드는 데이터 스크래핑 이벤트들을 조사하던 중 그 사실을 밝혀냈다. 해당 스크래핑 활동은 140만 개 이상의 인터넷 주소에 고르게 분산되어 있었습니다.
Qurium은 Popa를 제어하기 위해 사용된 수십 개의 도메인이 시간 경과에 걸쳐 여러 인터넷 주소에 동시로 호스팅되어 있음을 발견했으며, 여기에는 gmslb[.]net, safernetwork[.]io, tera- home[.]com, 그리고 ninjatech[.]io가 포함됩니다. 더 깊이 파고들면서, Qurium은 gmslb[.]net가 CRICFy, DooFlix, Sprozfy, RTS Tv, Flixoid, CyberFlix, Rapid Streamz, TvMob 및 HD/OceanStreams와 같은 dozens(다수의) pirated(복제된) 또는 modded(수정된) 비디오 콘텐츠 스트리밍 앱에서 다수 언급된 것을 발견했습니다.
Qurium의 보고서는 대부분의 팝아 봇넷을 제어하던 도메인들이 2025년 7월에 [압수되거나 해체되었다](https://blog.google/innovation-and-ai/technology/safety-security/google-taking-legal-action-against-the-badbox-20- botnet/), 그 후 Google, HUMAN Security 및 Trend Micro가 Badbox 2.0(Vo1d와 밀접하게 연관된 봇넷)을 무력화했다고 적혀 있습니다. Qurium은 그 중단 직후 수십 개의 새로운 도메인이 팝아 봇넷을 제어하기 위해 등록되었으며, 그 중 하나의 제어 도메인은 새로운 것이 아니었다: ninjatech[.]io였다.
Ninjatech는 Moishi Kramer에 의해 설립된 회사로, 그의 LinkedIn 프로필에는 네트눗(NETNUT)에서 연구 및 개발 부사장이라는 내용이 있습니다. 이 이력서는 Kramer가 NetNut을 “기초부터 구축하고,” “아키텍처를 설계했으며,” “NetNut를 확장했다”고 한 뒤 Alarum Technologies에 인수되었다는 점을 강조합니다.
자체 만든 구인 게시판 F6S Kramer를 참고는 Ninjatech 도메인의 유일한 소유자로 Kramer를 지목하고 있습니다(아래에 스크린샷이 첨부되어 있음).
이미지: F6S.com.
이메일로 회신한 크러머 씨는 Ninjatech가 약 5년 전, 회사가 장치 대역폭의 소량을 사용하고 호스트 앱이 사용자 동의를 얻은 후에만 실행되도록 설계된 Popa라는 SDK(소프트웨어 개발 키트)를 판매하면서 사업을 중단했다고 말했습니다. “그 코드는 수년 전 제3자(재판매업체 포함)에게 판매되고 라이선스화졌으며, 소프트웨어가 이렇게 배포되면 원 개발자는 이후에 다른 사람들이 어떻게 수정하고 재브랜딩하거나 배포하는지에 대해 통제할 수 없다.” Kramer는 자신이 nor NetNut가 설명한 Popa 인프라를 구축, 운영하거나 유지하지 않으며, Ninjatech 도메인을 통제하지 않는다고 말했습니다. “나는 언급한 2025년 6월 도메인을 등록하지 않았고, 누가 했는지 모른다,” 그는 계속 말했다. “그 인프라에 대한 통제권이나 가시성도 없으며, 오직 그것이 내가 아니면 NetNut에 의해 운영된다는 것만 말할 수 있다.”
하지만 오늘 발표된 팝아 연구 보고서에서 프록시 추적 회사 Synthient은 최근 Popa SDK의 분석을 통해 명확히 NetNut과 연관된 아웃바운드 트래픽이 발견됐다고 말했습니다.
Popa에서 아웃바운드 트래픽을 받는 Synthient 플랫폼. 이미지: Synthient.com.
Alarum Technologies, NetNut의 텔아비브 기반 모회사인 이 회사는 Synthient과 Qurium의 보고서가 “검증되지 않은 주장을 담고 있고, 검증된 사실이 아닌 오류 있는 추론을 포함하고 있다”고 말했습니다. Alarum은 성명을 공유하며 SDK와 기술들을 “봇넷”이라는 기본적인 묘사로 거부한다고 밝혔습니다.
“해당 SDK는 대역폭 공유 기능을 촉진하도록 설계되었으며, 사용자 장치를 악성코드에 의해 제어되는 시스템으로 전환하거나 그 장치에서 운영을 해킹하지 않는다는 점을 명시한다.” 라는 성명도 읽힙니다. NetNut은 상업용 프록시 네트워크를 운영하고, 서비스 이용을 법적·책임감 있게 장려하기 위한 정책, 절차 및 기술적 조치를 유지합니다.
“이 운영 방식은 내부 절차와 정책(고객 KYC 검토 및 추가 실사 포함)뿐만 아니라 네트워크 남용 의심 사항을 식별하고 대응하는 데 도움이 되는 다양한 기술적 조치에도 근거하고 있다,” 그들의 성명도 덧붙였습니다. 그러나 6월 8일에 발표된 프록시 추적 서비스 Spur은 NetNut가