멤버십
뉴스
리서치
마켓정보
라운지
커뮤니티
매체소개
고객센터
0
미국 법무부(DOJ)와 유럽연합 형사사법기구 유로폴(Europol)이 15년 가까이 운영되며 사이버 범죄 인프라로 악용돼 온 ‘SocksEscort’ 네트워크를 국제 공조 수사를 통해 폐쇄했다. 이번 작전으로 수십 개 도메인과 서버가 압수됐고, 수백만 달러 규모의 암호화폐도 동결됐다.
15년 운영된 프록시 범죄 인프라 붕괴
미국 법무부와 유로폴은 최근 국제 공조 작전을 통해 ‘SocksEscort’라는 대규모 프록시 네트워크를 해체했다고 밝혔다. 이번 작전에서는 34개 도메인이 압수되고 7개 국가에 분산돼 있던 23개 서버가 동시에 차단됐다.
또한 약 350만 달러 상당의 암호화폐가 동결됐는데, 이는 원화 기준 약 52억 원 규모다.
SocksEscort는 일반적인 프록시 서비스처럼 보였지만 실제로는 사이버 범죄자들이 흔적을 숨기기 위해 사용하던 핵심 ‘인프라 레이어’였다. 해킹 계정 탈취, 랜섬웨어 공격, 그리고 암호화폐 사기까지 다양한 범죄 활동이 이 네트워크를 통해 실제 공격 위치를 숨긴 채 수행됐다.
369,000개 기기 감염…163개국에 퍼진 봇넷
수사 자료에 따르면 이 네트워크는 전 세계 163개국에서 약 36만9,000개의 기기를 장악했다. 감염 대상에는 가정용 라우터와 IoT 기기, 일반 인터넷 사용자 IP 주소 등이 포함됐다.
이 장비들은 ‘AVRecon’ 악성코드에 감염된 뒤 프록시 서버로 활용됐고, 범죄 조직은 이를 정상적인 가정용 인터넷 트래픽처럼 위장해 은행이나 암호화폐 거래소의 보안 시스템을 우회했다.
특히 2024년 초 이후에는 매주 약 2만 개의 새로운 기기가 추가 감염된 것으로 파악된다. 수사 당국은 운영 기간 동안 이 네트워크가 약 580만 달러(약 86억 원)의 범죄 수익을 창출한 것으로 추정했다.
실제 피해 사례도 확인됐다. 뉴욕의 한 피해자는 SocksEscort 프록시를 이용한 계정 침해 공격으로 약 100만 달러, 원화 기준 약 15억 원 상당의 암호화폐를 잃은 것으로 확인됐다.
국제 공조 작전 ‘오퍼레이션 라이트닝’
이번 단속은 ‘오퍼레이션 라이트닝(Operation Lightning)’이라는 이름으로 진행됐으며, 프랑스·독일·네덜란드 등 최소 8개 국가 수사기관이 참여했다.
당국은 개별 해커를 추적하는 기존 방식에서 벗어나, 암호화폐 범죄를 가능하게 하는 ‘기반 인프라’를 직접 겨냥하는 전략으로 수사 방향을 바꾸고 있다.
유로폴 집행국장은 “SocksEscort 같은 프록시 서비스는 불법 자금이 국경을 넘어 이동할 때 흔적을 숨겨주는 ‘익명성 방패’ 역할을 한다”며 “이 인프라를 제거하면 범죄 네트워크 자체가 붕괴된다”고 설명했다.
거래소·이용자 데이터 노출…추가 기소 예고
이번 조치로 SocksEscort 서비스를 이용하던 사용자들도 직접적인 수사 대상에 오를 가능성이 커졌다.
이 서비스에는 약 12만4,000명의 등록 사용자가 있었으며, 이들은 정상적인 가정용 인터넷 사용자처럼 위장해 암호화폐 거래소의 IP 기반 사기 탐지 시스템을 회피해 왔다.
이 네트워크는 계정 탈취 공격, 대량 비밀번호 대입 공격, 시세 조작 거래, 계정 하이재킹 등 다양한 범죄 활동에 활용된 것으로 조사됐다.
문제는 압수된 서버에 남아 있는 데이터다. 미국 연방수사국(FBI)의 제이슨 빌노스키(Jason Bilnoski) 부국장은 “서버에는 방대한 거래 및 접속 기록이 남아 있다”며 “수천 명의 이용자가 이미 노출됐으며 추가 기소가 이어질 것”이라고 밝혔다.
강화되는 규제…거래소 보안 기준 변화
이번 사건은 암호화폐 업계에도 적지 않은 파장을 남길 전망이다.
규제 당국은 ‘프라이버시 보호 도구’와 ‘범죄 은폐 인프라’ 사이의 경계를 더욱 엄격하게 구분하려는 움직임을 보이고 있다.
이미 일부 규제 준수 거래소들은 사용자 접속이 실제 인터넷 서비스 제공업체(ISP)에서 발생한 것인지, 혹은 감염된 봇넷이나 프록시를 통한 것인지 검증하는 시스템을 강화하고 있다.
SocksEscort 네트워크는 사라졌지만, 압수된 서버에서 확보된 데이터와 기록을 바탕으로 한 후속 수사는 이제 시작 단계라는 평가가 나온다.
🔎 시장 해석
SocksEscort 프록시 네트워크는 단순한 VPN·프록시 서비스처럼 보였지만 실제로는 암호화폐 사기, 계정 탈취, 랜섬웨어 공격 등에 사용된 ‘범죄 인프라 레이어’였다.
미국 DOJ와 유로폴이 15년간 운영된 이 네트워크를 해체하면서 34개 도메인, 23개 서버가 차단되고 약 350만 달러 상당의 암호화폐가 동결됐다.
이는 개별 해커가 아니라 ‘범죄 인프라 자체’를 겨냥한 수사 방식으로, 향후 암호화폐 관련 사이버 범죄 단속의 새로운 기준이 될 가능성이 높다.
💡 전략 포인트
프록시·봇넷 기반 공격이 거래소 보안의 핵심 리스크로 다시 부각되고 있다.
거래소들은 단순 IP 차단을 넘어 실제 ISP 기반 접속 여부, 프록시·감염 기기 여부를 확인하는 네트워크 검증 시스템을 강화하고 있다.
압수된 서버에서 수천 명의 사용자 기록이 발견되면서 관련 범죄 수사가 장기간 이어질 가능성이 높다.
보안 규제가 강화될 경우 프록시·VPN 서비스와 익명성 도구에 대한 규제 논쟁도 커질 전망이다.
📘 용어정리
프록시 네트워크(Proxy Network): 사용자의 실제 IP 대신 다른 기기의 IP를 통해 인터넷에 접속해 위치와 신원을 숨기는 중간 서버 구조.
봇넷(Botnet): 악성코드로 감염된 수많은 기기를 원격으로 통제해 공격이나 트래픽 조작에 사용하는 네트워크.
주거용 프록시(Residential Proxy): 일반 가정용 인터넷 IP를 이용해 정상 사용자처럼 보이게 하는 프록시 방식.
Operation Lightning: 미국 DOJ와 유로폴 등 최소 8개국이 참여해 SocksEscort 인프라를 차단한 국제 공조 수사 작전.
💡 자주 묻는 질문 (FAQ)
Q. SocksEscort 네트워크는 무엇이며 왜 위험한가요?
Q. 이번 국제 공조 수사에서 어떤 조치가 이뤄졌나요?
Q. 이번 사건이 암호화폐 거래소 보안에는 어떤 영향을 주나요?
TP AI 유의사항
TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.
![[Episode 12] IXO™2024 참여하고, 2억원 상당 에어드랍 받자!](https://f1.tokenpost.kr/2024/03/bk2tc5rpf6.png)
![[Episode 11] 코인이지(CoinEasy) 에어드랍](https://f1.tokenpost.kr/2024/02/g0nu4cmps6.png)
![[Episode 8] Alaya 커뮤니티 입장하고, $AGT 받자!](https://f1.tokenpost.kr/2023/10/0evqvn0brd.png)
![[Episode 6] 아트테크 하고, 에어드랍 받자!](https://f1.tokenpost.kr/2023/08/3b7hm5n6wf.jpg)
![[토큰포스트] 기사 퀴즈 552회차](https://f1.tokenpost.kr/2026/03/j7ggotbpdp.jpg)
![[토큰포스트] 기사 퀴즈 551회차](https://f1.tokenpost.kr/2026/03/n8epwegfrl.jpg)
![[토큰포스트] 기사 퀴즈 550회차](https://f1.tokenpost.kr/2026/03/52roledcjh.jpg)
![[토큰포스트] 기사 퀴즈 549회차](https://f1.tokenpost.kr/2026/03/6j5ydfkdjn.jpg)
![[크립토 인사이트 EP.30] 블랙록 스테이킹 ETF 첫날 1억달러·스트레티지 하루 1500BTC·](https://f1.tokenpost.kr/2026/03/6497wmpl5y.jpg)
