프로젝터 봇넷: 간단한 가정용 장치가 광고, 데이터, 대역폭을 위해 어떻게 악용되었는가

Source: Dev.to

조사 시작 방식

나는 로컬 네트워크에서 AdGuard Home을 실행해 모든 연결된 장치의 DNS 요청을 모니터링하고 필터링한다. 어느 저녁, 느린 네트워크 활동을 해결하기 위해 쿼리 로그를 확인하던 중 이상한 점을 발견했다.

• 내 프로젝터(192.168.100.3 – “Projector Android”)가 시간당 수백 건의 DNS 요청을 하고 있었다.
• 요청 대상은 일반적인 스트리밍 서비스가 아니라:
  • 포르노 사이트
  • 성인 광고 네트워크
  • 수상한 트래킹 도메인
  • 클릭‑사기 인프라
  • 설치된 앱과 무관한 해외 서버

프로젝터가 대기 상태일 때조차도 모든 요청이 프로젝터에서 발생했다.

자동화된 포르노·광고 트래픽 패턴

로그에는 다음과 같은 도메인에 대한 지속적인 접근 시도가 보였다:

• jizzbunker.com
• porntire.com
• yescams.com
• discretxxx.com
• hotmoza.tv
• bbs.airav.cc
• 다양한 .xxx, .cc, .tv 성인 네트워크

이 트래픽의 특징

• 자동화 및 반복적
• 24시간 내내 발생
• 사용자 활동과 무관

AdGuard의 부모‑제어 필터가 이 도메인들을 차단했지만, 근본적인 행동은 충격적이었다. 이는 우연한 브라우징이나 사용자의 실수 클릭이 아니라, 프로젝터 펌웨어에 내장된 백그라운드 프로세스가 광고 네트워크와 콘텐츠 제공자에게 무단으로 연결하고 있음을 시사한다.

의미: 펌웨어 수준의 애드웨어

저가 Android 프로젝터는 종종 다음과 같은 과도하게 수정된 Android 버전을 실행한다:

• 사전 설치된 “무료 영화” 또는 “TV” 앱
• 숨겨진 광고 SDK
• 광고 노출을 위해 강제되는 웹 트래픽
• 데이터 수집 서비스
• 원격 명령·제어 채널

내 경우 프로젝터는:

1. 포르노 사이트에 광고 호출을 생성해 알 수 없는 제3자에게 수익을 제공한다.
2. 사전 설치된 앱에 내장된 광고·트래킹 네트워크와 연결한다.
3. 사용하지 않을 때도 백그라운드 트래픽을 발생시켜 대역폭을 소모한다.
4. 의심스러운 서비스를 통해 로컬 네트워크를 외부 접근에 노출시킬 가능성이 있다.

백그라운드에서 자동 포르노 트래픽을 보내는 것은 “버그”가 아니라 공장 수준에서 설치된 숨은 애드웨어를 통한 수익 창출이다.

왜 위험한가

1. 대역폭 절도 – 장치가 무단 활동으로 인터넷 연결을 조용히 소모한다.
2. 불안전한 네트워크 노출 – 악성 도메인이 추가 페이로드를 다운로드하거나 명령 서버와 연결될 수 있다.
3. 프라이버시 침해 – 네트워크 활동이 사용자가 전혀 생성하지 않은 성인 트래픽과 뒤섞인다.
4. 원격 접근 취약성 – 일부 저가 Android 장치는 외부 제어를 가능하게 하는 백도어를 포함한다.
5. 법적 위험 – 필터링되지 않은 트래픽이 불법 웹사이트에 대한 고의 접근으로 보일 수 있다.

스마트 기기가 영향을 받았는지 확인하는 방법

Android 기반 프로젝터, TV 박스, 저가 스트리밍 장치를 보유하고 있다면 직접 테스트해볼 수 있다:

1. AdGuard Home, Pi‑hole 등 DNS‑필터링 솔루션을 설치한다.
2. 장치를 연결한 상태로 몇 시간 동안 실행한다.
3. 쿼리 로그에서 이상 패턴을 확인한다:
   • 포르노 사이트
   • 광고 네트워크
   • 해외 도메인
   • 알 수 없는 트래킹 서비스
4. 장치를 재부팅하고 트래픽이 즉시 재개되는지 관찰한다.
5. 공장 초기화 후에도 행동이 지속되는지 확인한다.
6. 의심스러운 사전 설치 앱을 제거하거나 비활성화한다.
7. 가능하면 장치를 별도 VLAN이나 게스트 네트워크에 격리한다.

리셋 후에도 로그가 계속된다면 해당 동작은 펌웨어에 내장된 것일 가능성이 높다.

제조업체가 말하지 않는 것

초저가 Android 프로젝터와 TV 박스는 종종 다음을 사전 설치해 하드웨어 비용을 보조한다:

• 애드웨어
• 클릭‑사기 봇
• 트래킹 프레임워크
• 제3자 수익 창출 서비스

이러한 관행은 일부 장치가 브랜드 제품보다 현저히 저렴한 이유를 설명하지만, 동시에 네트워크, 데이터, 대역폭을 위험에 빠뜨린다.

소비자가 해야 할 일

IoT 기기에 대한 투명성을 강제하는 규제가 강화될 때까지, 소비자는 다음과 같이 스스로를 보호할 수 있다:

• 무브랜드 Android 프로젝터·TV 박스는 피한다.
• DNS 필터링(AdGuard Home, Pi‑hole 등)을 사용한다.
• IoT 기기를 별도 네트워크에 격리한다.
• 트래픽을 정기적으로 모니터링한다.
• 펌웨어 감사를 받은 신뢰할 수 있는 제조업체를 선택한다.

프로젝터가 스스로 성인 사이트를 비밀리에 탐색해서는 안 된다.

결론

이번 조사는 눈에 보이는 곳에 숨겨진 불안한 진실을 드러냈다: 내 집 안의 스마트 장치가 단순히 영화를 투사하는 것이 아니라, 광고 사기, 대역폭 남용, 원치 않는 성인 트래픽이라는 지하 생태계에 참여하고 있었다. 프로젝터에서 이런 일이 일어날 수 있다면, 어떤 스마트 기기에서도 일어날 수 있다. 소비자는 투명성을 요구해야 하며, 그때까지는 인식이 가장 강력한 방어 수단이다.