매일 수백만 명의 일반 인터넷 사용자가 고의든 아니든 완전히 낯선 사람에게 컴퓨터, 스마트폰 또는 가정용 라우터를 사용할 수 있도록 허용합니다. 그들은 이러한 낯선 사람의 인터넷 요청을 수락하고 인터넷을 통해 대상 서버로 전달하는 프록시 서버인 프록시웨어를 설치합니다. 

이러한 프록시웨어에 대한 접근은 일반적으로 전문 회사에서 제공하며, 

이 문서에서는 이를 RPP(주거용 프록시 공급자)라고 합니다. 

일부 기업에서는 합법적인 목적으로 RPP 서비스를 활용하지만, 업무용 컴퓨터에 RPP 서비스가 있는 경우 불법 활동을 나타내는 경우가 더 많습니다.

RPP는 수백만 개에 달할 수 있는 사용 가능한 IP 주소의 다양성과 수량을 자랑하며 서로 경쟁합니다.

이 시장은 파편화되고 불투명하며 조직과 사이버 보안 팀에 고유한 위험을 초래합니다.

인터넷이 모든 사람에게 동일하게 느껴지는 시대는 오래 전에 지났습니다. 

오늘날 주요 온라인 서비스는 지역에 따라 콘텐츠를 맞춤화하고, 웹사이트는 전체 국가 및 대륙을 제외하고 콘텐츠를 필터링하며, 서비스 기능은 국가마다 다를 수 있습니다. 

주거용 프록시는 이러한 필터를 분석, 우회 및 우회하는 방법을 제공합니다. 

RPP는 종종 시장 조사(경쟁사 가격 추적), 광고 검증, 데이터 수집 및 AI 교육을 위한 웹 스크래핑, 검색 엔진 결과 분석 등과 같은 서비스의 사용 사례를 광고합니다.

상용화된 VPN과 데이터센터의 프록시는 유사한 기능을 제공하지만,  알려진 데이터 센터 IP 범위 또는 휴리스틱을 기반으로 많은 서비스들을 감지할 수 있습니다.

실제 가정용 장치에서 작동하는 주거용 프록시는 식별하기가 훨씬 더 어렵습니다.

주거용 프록시가 체계적으로 사용되는 모호하고 종종 명백한 악의적인 활동들을 RPP 웹사이트가 주로 생략합니다. 그중 :

주거용 프록시 시장은 판매자, 구매자 및 참가자가 모두가 반드시 절대적으로 합법적일 필요는 없으며(자발적이고 모범 사례를 준수함)-명백히 불법일 수 있기 때문에 복잡합니다. 

일부 RPP 제공업체는 공식 웹사이트를 운영하며 투명한 정보, 실제 주소, 주요 고객의 추천 등을 유지합니다. 

다른 업체들은 해커 포럼과 다크 웹의 그림자 속에서 활동하며 텔레그램을 통해 주문을 받습니다. 

겉보기에 합법적으로 보이는 공급자조차도 적절한 고객 확인이 부족하고 "노드", 즉 프록시웨어가 설치된 가정용 컴퓨터 및 스마트폰의 출처에 대한 명확한 정보를 제공하기 어려울 때가 많습니다. 

때때로 이러한 투명성 부족은 RPP가 인프라를 하청업체에 의존하여 프록시의 진정한 출처를 인식하지 못하는 데서 비롯됩니다.

주거용 프록시 네트워크를 위해 새 프록시웨어를 획득하는 주요 방법을 

가장 무해한 것부터 가장 불쾌한 것까지 나열해 보겠습니다.

"인터넷에서 적립" 응용 프로그램. 

사용자는 컴퓨터와 연결 채널의 부하가 적을 때 다른 사람에게 인터넷 액세스를 제공하기 위해 장치에서 프록시웨어를 실행하도록 장려됩니다. 사용자는 매월 이에 대한 비용을 지불받습니다. 겉보기에는 합의된 것처럼 보이지만 이러한 프로그램은 종종 사용자에게 컴퓨터와 스마트폰에서 정확히 무슨 일이 일어날지 적절하게 알리지 못합니다.

프록시웨어로 수익을 창출하는 앱 및 게임. 

퍼블리셔는 게임이나 애플리케이션에 RPP 구성 요소를 내장하여 사용자의 기기를 통해 라우팅되는 트래픽을 기반으로 수익을 창출합니다.이상적으로는 사용자 또는 플레이어가 광고 또는 애플리케이션 구매와 같은 대체 수익 창출 방법을 선택하거나 선택할 수 있어야 합니다. 그러나 투명성과 사용자 선택은 종종 무시됩니다.

프록시웨어의 은밀한 설치.

애플리케이션 또는 공격자는 사용자 동의 없이 컴퓨터나 스마트폰에 RPP 앱 또는 라이브러리를 설치할 수 있습니다. 그러나 운이 좋다면 소유자는 이 "기능"을 알아차리고 비교적 쉽게 제거할 수 있습니다.

이 시나리오는 사용자 동의가 무시된다는 점에서 이전 시나리오와 유사하지만 지속성 및 은폐 기술이 더 복잡합니다. 범죄 프록시웨어는 공격자가 시스템에 발판을 마련하고 활동을 숨길 수 있도록 가능한 모든 수단을 사용합니다. 맬웨어는 로컬 네트워크 내에서도 확산되어 추가 장치를 손상시킬 수 있습니다.

프록시웨어 감염. 조직에서는 프록시웨어 활동을 보이는 하나 이상의 컴퓨터를 찾을 수 있습니다. 

일반적이고 비교적 무해한 시나리오는 직원이 프록시웨어와 함께 은밀하게 번들로 제공되는 무료 소프트웨어를 설치하는 것입니다. 이 시나리오에서 회사는 승인되지 않은 대역폭 사용에 대한 비용을 지불할 뿐만 아니라 손상된 장치에서 악의적인 활동이 발생한 것으로 확인될 경우 다양한 금지 목록에 포함될 위험이 있습니다. 특히 심각한 경우 기업은 해커를 은닉하고 있지 않는다는 것을 법 집행 기관에 증명해야 할 수 있습니다.

프록시웨어가 광범위한 맬웨어 감염의 한 요소일 때 상황은 훨씬 더 복잡해집니다. 프록시웨어는 종종 마이닝과 함께 사용되며, 둘 다 다른 옵션이 수익성이 낮거나 이미 악용된 경우 회사 리소스에 대한 액세스를 수익화하려는 시도입니다. 따라서 프록시웨어를 탐지한 후에는 감염 벡터를 파악하고 다른 악의적인 활동을 식별하기 위해 철저한 로그 분석이 중요합니다.

프록시웨어를 포함한 맬웨어의 위험을 완화하기 위해 조직은 업무용 컴퓨터 및 스마트폰에 허용 목록 정책을 구현하여 IT 부서에서 승인한 애플리케이션으로만 소프트웨어 설치 및 실행을 제한하는 것을 고려해야 합니다. 엄격한 허용 목록에 추가할 수 없는 경우 알려진 프록시웨어 라이브러리 및 애플리케이션을 EPP/EDR 거부 목록에 추가하는 것이 필수적입니다.

추가 보호 계층에는 전체 내부 네트워크에서 알려진 프록시웨어 명령 및 제어 서버와의 통신을 차단하는 것이 포함됩니다. 이러한 정책을 효과적으로 구현하려면 새 데이터로 규칙을 정기적으로 업데이트하기 위해 위협 인텔리전스 원본에 액세스해야 합니다.

프록시웨어와 관련된 크리덴셜 스터핑 및 암호 스프레이 공격. 

공격자는 종종 표적 조직의 사무실과 가까운 지역의 주거용 프록시를 활용하여 지리적 위치 기반 보안 규칙을 우회하려고 시도합니다. 프록시 간의 빠른 전환을 통해 기본 IP 기반 속도 제한을 우회할 수 있습니다. 이러한 공격에 대응하기 위해 조직은 실패한 로그인 시도의 비정상적인 급증을 감지하는 규칙이 필요합니다. 여러 애플리케이션에서 빈번한 IP 변경 및 로그인 시도 실패와 같은 기타 의심스러운 사용자 행동을 식별하는 것도 중요합니다. 다단계 인증(MFA)을 사용하는 조직의 경우 MFA 피로 공격이 진행 중일 수 있으므로 빠르고 반복적인 MFA 요청 시 트리거되는 규칙을 구현하는 것도 효과적일 수 있습니다.

 이러한 탐지 논리를 구현하기 위한 이상적인 환경은 SIEM 또는 XDR 플랫폼(회사에 있는 경우)에서 제공합니다.

프록시의 합법적인 비즈니스 사용. 

조직에서 웹 사이트 테스트와 같은 합법적인 목적을 위해 주거용 프록시가 필요한 경우 세심한 공급업체(즉, RPP) 선택이 중요합니다. 모든 운영 지역에서 명백히 합법적인 관행, 관련 인증, 문서화된 데이터 처리 및 저장 규정 준수를 통해 RPP의 우선 순위를 지정합니다. 네트워크에서 사용되는 프록시의 출처에 대한 포괄적인 보안 문서와 투명성을 제공해야 합니다. 

고객 확인이 부족하거나, 암호화폐로 결제를 수락하거나, 인터넷 규정이 느슨한 관할 구역에서 운영되는 제공업체를 피하십시오.매일 수백만 명의 일반 인터넷 사용자가 고의든 아니든 완전히 낯선 사람에게 컴퓨터, 스마트폰 또는 가정용 라우터를 사용할 수 있도록 허용합니다. 그들은 이러한 낯선 사람의 인터넷 요청을 수락하고 인터넷을 통해 대상 서버로 전달하는 프록시 서버인 프록시웨어를 설치합니다. 

이러한 프록시웨어에 대한 접근은 일반적으로 전문 회사에서 제공하며, 이 문서에서는 이를 RPP(주거용 프록시 공급자)라고 합니다. 일부 기업에서는 합법적인 목적으로 RPP 서비스를 활용하지만, 업무용 컴퓨터에 RPP 서비스가 있는 경우 불법 활동을 나타내는 경우가 더 많습니다.

RPP는 수백만 개에 달할 수 있는 사용 가능한 IP 주소의 다양성과 수량을 자랑하며 서로 경쟁합니다.이 시장은 파편화되고 불투명하며 조직과 사이버 보안 팀에 고유한 위험을 초래합니다.