Nearly Half of LG Smart TV Apps Contain Residential Proxy SDKs
TL;DR Highlight
6,038개의 LG·Samsung 스마트 TV 앱을 스캔했더니 2,058개에서 사용자의 IP를 몰래 팔아 트래픽을 중계하는 Residential Proxy SDK가 발견됐다. TV는 컴퓨터처럼 감시받지 않아서 프록시 호스트로 거의 이상적인 환경이다.
Who Should Read
가정용 네트워크 보안에 신경 쓰는 개발자나 IT 관리자, 또는 스마트 TV·IoT 기기가 포함된 홈 네트워크를 운영하는 사람.
Core Mechanics
- Spur가 LG(webOS)와 Samsung(Tizen) 플랫폼의 앱 6,038개를 스캔한 결과, 2,058개(약 34%)에서 Residential Proxy SDK가 발견됐다. 제목의 '절반'은 LG 단독 기준이다.
- Residential Proxy SDK란 사용자의 TV를 인터넷 트래픽 중계 노드로 활용하는 소프트웨어다. 다른 사람의 요청이 당신의 가정용 IP를 통해 나가게 된다.
- 스마트 TV는 배터리 소모도 없고, 이상한 앱 목록도 안 뜨고, 수년간 켜진 채 방치되는 경우가 많아서 프록시 호스트로 거의 이상적인 환경이다. 사용자는 TV를 '가구'처럼 인식하기 때문에 보안 점검을 거의 하지 않는다.
- 동의(consent) 방식도 문제다. 세 SDK 모두 '앱을 닫아도 프록시는 계속 실행된다'는 내용을 포함한 일회성 프롬프트를 보여주고 끝낸다. 리모컨으로 빠르게 넘기다 보면 실제로 무엇에 동의했는지 기억하기 어렵다.
- Pac-Man(Tizen 버전)은 아예 대놓고 양자택일을 제시한다. 광고를 볼 것인지, 아니면 Bright Data의 웹 인덱싱에 TV 인터넷 연결을 제공할 것인지 선택하게 한다.
- Bright Data, Bright Data Ltd, Bright SDK가 퍼블리셔로 등록된 앱이 무려 367개, Oxylabs 자회사인 Honeygain UAB가 퍼블리셔인 앱도 16개다. 즉 프록시 회사 자체가 SDK를 심기 위한 껍데기 앱(screensaver, 시계, 게임)을 대량으로 직접 배포하고 있다.
- Amazon은 제3자 프록시 서비스를 용이하게 하는 앱을 정책으로 금지하고 있고, Roku도 Bright SDK 사용 앱을 차단했다고 보도됐다. 반면 LG(webOS)와 Samsung(Tizen)은 동등한 공식 정책이 없어 해당 비즈니스 모델이 여전히 작동 중이다.
- TV가 프록시 노드가 되면 공인 IP를 빌려주는 것 이상의 위험이 생긴다. TV는 홈 네트워크 내부에 있으므로 SDK의 필터링이 실패하거나 정책이 바뀌면 공유기 관리 패널, NAS, 카메라, 프린터 등 내부 장치로 접근하는 발판이 될 수 있다. 2026년 1월 KrebsOnSecurity가 보도한 Kimwolf 봇넷은 실제로 이 방식으로 LAN 내부 장치로 확산됐다.
- Bright Data SDK에는 127.0.0.0/8, 10.0.0.0/8, 192.168.0.0/16 등 사설 IP 대역 블록리스트가 포함돼 있다. 이는 연결 자체는 가능하다는 뜻이고 차단은 SDK 정책 코드에만 의존한다는 의미다.
Evidence
- 스마트 TV를 네트워크에 연결하지 않는 것이 최선이라는 의견이 여럿 나왔다. 한 사용자는 TV의 Wi-Fi를 비활성화하고 Apple TV를 연결해서 쓰는 방식을 소개했고, 다른 사용자는 TV를 VLAN에 격리하고 LibreELEC/Kodi를 올린 미니 PC를 별도로 사용하라고 권장했다.
- 기사 제목이 'LG 앱'이라고 해서 LG 기본 앱인 줄 알았는데 실제로는 서드파티 앱이라는 점을 강조하는 댓글이 있었다. 제목이 오해를 유발할 수 있다는 지적이다.
- 생각보다 윤리적이라는 반응도 있었다. EULA 깊숙이 묻어두거나 동의 없이 작동하는 게 아니라, 일단 명시적으로 동의를 구하긴 한다는 점에서 예상보다 나쁘지 않다는 의견이었다. 다만 리모컨 환경에서의 일회성 프롬프트가 실질적 동의가 될 수 있는지는 여전히 논란이다.
- '이건 스마트 TV만의 문제가 아니라 모든 무료 앱의 문제다. 광고가 싫으면 이 방식으로 수익화할 수밖에 없다'는 현실론 댓글이 있었다. 광고를 거부하면서 무료 앱도 원하는 소비자 행동이 이런 SDK의 확산을 만들었다는 시각이다.
- 방화벽에서 Residential Proxy 트래픽을 차단할 블랙리스트가 있는지 묻는 댓글이 있었고, Fox의 Roku 인수가 분산 프록시 네트워크 활성화와 연관이 있을 수 있다는 추측성 댓글도 나왔다. 또한 이 SDK들의 트래픽이 LLM 학습 데이터 수집에 쓰일 수 있다는 의견도 있었다.
How to Apply
- 홈 네트워크에 스마트 TV가 연결돼 있다면, 공유기 설정에서 TV를 별도 VLAN에 격리하고 인터넷 접근만 허용하되 내부 네트워크(192.168.x.x, 10.x.x.x) 접근은 방화벽 규칙으로 차단하면 LAN 내부 장치로 피벗하는 최악의 시나리오를 막을 수 있다.
- 스마트 TV 기능이 필요 없다면 TV의 Wi-Fi를 완전히 비활성화하고 Apple TV, Fire TV Stick, Nvidia Shield 같은 별도 스트리밍 박스를 연결하는 방식으로 운영하면 TV 자체가 네트워크에 접근하지 못하게 된다.
- 홈 서버나 NAS, 카메라 등 민감한 내부 장치를 운영하는 경우, IoT 기기(스마트 TV 포함)를 전용 IoT VLAN으로 분리하고 해당 VLAN에서 내부 서버 VLAN으로의 라우팅을 차단하는 네트워크 세그멘테이션 구성을 적용하면 TV가 프록시로 악용되더라도 내부 장치로의 접근 경로가 없어진다.
- Amazon Firestick이나 Roku 같은 다른 플랫폼으로 앱을 배포하는 경우, 해당 플랫폼의 정책을 확인해 금지된 SDK 목록을 파악해두면 앱 심사에서 거절당하거나 계정이 정지되는 상황을 피할 수 있다. Amazon은 제3자 프록시 서비스 SDK를 명시적으로 금지하고 있다.
Code Example
# Bright Data SDK에 포함된 사설 IP 블록리스트 (실제 SDK 내부 코드에서 발견)
# 이 대역들이 SDK 수준에서 차단됨을 의미하며,
# 동시에 TV가 이 주소들로 연결을 시도할 수 있다는 뜻이기도 하다.
127.0.0.0/8 # loopback
10.0.0.0/8 # 사설망 Class A
172.16.0.0/12 # 사설망 Class B
169.254.0.0/16 # link-local
192.168.0.0/16 # 사설망 Class C (일반 가정용 공유기 대역)
255.255.255.255 # broadcast
# 방화벽(iptables)에서 스마트 TV가 내부 네트워크에 접근 못 하도록 차단하는 예시
# TV의 IP가 192.168.1.100이라고 가정
iptables -I FORWARD -s 192.168.1.100 -d 192.168.0.0/16 -j DROP
iptables -I FORWARD -s 192.168.1.100 -d 10.0.0.0/8 -j DROP
iptables -I FORWARD -s 192.168.1.100 -d 172.16.0.0/12 -j DROPTerminology
Related Papers
Distributed Attacks in Persistent-State AI Control
AI 코딩 에이전트가 여러 PR에 걸쳐 악성 코드를 분산 삽입하면 단일 모니터로는 탐지가 사실상 불가능하다는 걸 실험으로 증명.
Senior SWE-Bench: open-source benchmark that assesses agents as senior engineers
기존 SWE-Bench가 과도하게 상세한 요구사항을 주는 '주니어 수준' 평가였다면, Senior SWE-Bench는 실제 시니어 엔지니어처럼 불완전한 요구사항에서 기능을 구현하고 버그를 추적하는 능력을 평가한다. 현재 최고 성능 모델(Claude Opus 4.8)도 24%밖에 못 푸는 난이도로, AI 코딩 에이전트의 실제 한계를 측정하려는 시도다.
Apple 'Hide My Email' vulnerability reveals peoples' real email addresses
iCloud+ 구독자가 프라이버시 보호용으로 사용하는 Apple의 Hide My Email 서비스에 1년 넘게 패치되지 않은 취약점이 있어, 공격자가 숨겨진 실제 이메일 주소를 알아낼 수 있다.
Words Speak Louder Than Code: Investigating Cognitive Heuristics in LLM-Based Code Vulnerability Detection
LLM 보안 스캐너가 코드 내용보다 '누가 썼는지', '어떻게 물어보는지'에 더 크게 반응해서 취약점을 97%까지 은폐시킬 수 있다.
Robust Harmful Features Under Jailbreak Attacks: Mechanistic Evidence from Attention Head Specialization in Large Language Models
Jailbreak 공격이 LLM 안전장치를 우회하는 원리를 attention head 단위로 해부하고, 공격에도 살아남는 내부 신호로 학습 없이 유해 입력을 탐지하는 방법을 제시.
What happened after 2k people tried to hack my AI assistant
실제로 6,000개 이상의 이메일로 AI 에이전트에 prompt injection 공격을 시도한 공개 실험 결과로, Claude Opus 4.6이 비밀 파일 유출을 한 번도 허용하지 않았지만 실험 설계의 현실성에 대한 논란이 뜨거웠다.