구글 위협 인텔리전스 그룹(GTIG)은 2026년 7월 2일, FBI 및 루멘 테크놀로지스와 협력해 ‘넷넛(NetNut)’ 주거용 프록시 네트워크(일명 ‘Popa’)를 대규모로 무력화했다고 발표 이 네트워크는 전 세계 최소 200만대의 소비자 가전기기(스마트TV, 안드로이드 셋톱박스, 태블릿 등)를 감염시켜 범죄 트래픽 중계에 활용했으며, 단 1주일 만에 316개의 위협 클러스터가 확인됨 이번 조치는 IPIDEA 주거용 프록시 네트워크를 무력화한 2026년 1월 조치의 연장선으로, 구글은 주거용 프록시 업계 전체가 사이버 범죄 생태계와 깊이 연결되어 있다고 경고

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What was the coordinated action taken by Google, the FBI, and Lumen Technologies in June 2026 to. Article summary: Here is the fact-checked breakdown of the coordinated action and its findings, drawn from Reuters, Krebs on Security, the Hacker News, PCMag, and other reporting published July 2, 2026.. Topic tags: general, news, general web, user generated, government. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickb
2026년 7월 2일, 구글 위협 인텔리전스 그룹(GTIG)이 넷넛(NetNut) 주거용 프록시 네트워크(내부 코드명 Popa)를 대폭 무력화했다고 발표했습니다. 이번 작전은 FBI 및 루멘 테크놀로지스(Lumen Technologies) 등 업계 파트너와의 공조로 이루어졌습니다 . 이번 합동 타격은 일반 가전기기를 글로벌 사이버 범죄 중계망으로 전환시킨 사상 최대 규모의 봇넷 중 하나를 무력화한 것으로 평가됩니다.
구글은 세 가지 구체적 조치를 취했습니다:
또한 FBI는 넷넛 및 Popa 봇넷 인프라와 관련된 수백 개의 도메인을 압수했습니다 . FBI는 넷넛의 홈페이지를 압수 통지문으로 교체했습니다
.
관찰 단 1주일 만에 구글 위협 인텔리전스 그룹은 넷넷 프록시 인프라를 통해 악성 트래픽을 라우팅하는 316개의 개별 위협 클러스터를 탐지했습니다 . 여기에는 다음이 포함됩니다:
구글과 연구원들은 두 가지 주요 감염 경로를 확인했습니다:
구글은 사용하지 않는 대역폭에 대한 대가를 지급하거나 "보상을 위해 인터넷 연결을 공유하라"고 유도하는 앱을 피하라고 경고했습니다. 이러한 앱은 주거용 프록시 가입을 위한 트로이 목마로 흔히 사용되기 때문입니다 . 소비자는 기기를 최신 상태로 유지하고, 알 수 없는 업체의 값싼 무브랜드 안드로이드 TV 박스를 피하며, 어떤 앱에 네트워크 권한이 있는지 확인하라는 조언을 받았습니다.
Popa 봇넷은 안드로이드 기반 IoT 기기를 표적으로 하는 Mirai 봇넷 변종과 계통을 공유하는 Vo1d/Mzmess군에서 파생된 악성코드를 사용했습니다 . Aisuru 봇넷(Mirai/TurboMirai 계열 IoT 봇넷) 역시 이 기간 동안 DDoS 공격에서 주거용 프록시 모델로 전환하는 것이 관찰되어 업계 전반의 변화를 보여줍니다
. 2018년 처음 문서화된 OMG Mirai 변종 역시 IoT 기기를 프록시 서버로 전환한 사례입니다
.
이번 조치는 구글이 2026년 1월 28일 단행한 IPIDEA 주거용 프록시 네트워크 무력화의 직접적인 연장선에 있습니다 . 당시 구글은 사이버 범죄자와 국가 지원 해커의 트래픽을 라우팅하는 데 사용된 IPIDEA의 도메인과 계정을 제거했습니다
. 구글은 당시 — 그리고 7월에도 재확인했지만 — 광범위한 주거용 프록시 업계가 사이버 범죄 생태계와 깊이 연결되어 있으며, NetNut, LunaProxy, 711Proxy, 922Proxy 같은 주요 서비스가 각각 100만 개 이상의 종료 노드를 운영하고 있다고 평가했습니다
. NetNut 타격은 2026년 3월 SocksEscort 무력화
및 2026년 6월 'Outsider' 피싱 네트워크 타격
을 포함한 지속적인 캠페인의 일부였습니다.
Alarum Technologies는 2026년 7월 2일 성명을 통해 "인프라의 오용 가능성에 대한 철저한 조사를 위해 법 집행 기관에 전면 협조할 것"이라고 밝혔습니다 .
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
구글 위협 인텔리전스 그룹(GTIG)은 2026년 7월 2일, FBI 및 루멘 테크놀로지스와 협력해 ‘넷넛(NetNut)’ 주거용 프록시 네트워크(일명 ‘Popa’)를 대규모로 무력화했다고 발표
구글 위협 인텔리전스 그룹(GTIG)은 2026년 7월 2일, FBI 및 루멘 테크놀로지스와 협력해 ‘넷넛(NetNut)’ 주거용 프록시 네트워크(일명 ‘Popa’)를 대규모로 무력화했다고 발표 이 네트워크는 전 세계 최소 200만대의 소비자 가전기기(스마트TV, 안드로이드 셋톱박스, 태블릿 등)를 감염시켜 범죄 트래픽 중계에 활용했으며, 단 1주일 만에 316개의 위협 클러스터가 확인됨
이번 조치는 IPIDEA 주거용 프록시 네트워크를 무력화한 2026년 1월 조치의 연장선으로, 구글은 주거용 프록시 업계 전체가 사이버 범죄 생태계와 깊이 연결되어 있다고 경고