[Silent Push] 트래픽 발생지 데이터와 사설 프록시 데이터를 결합하여 의심스러운 중국 VPN을 발견

 

Silent Push 트래픽 발생지 데이터와 사설 프록시 데이터를 결합하여 의심스러운 중국 VPN을 발견

플랫폼,위협 2026년 2월 9일

Silent Push의 트래픽 출처 분석 기능 은 위협 행위자의 실제 발생 국가를 파악하는 데 도움이 되는 인사이트를 제공합니다. 이는 방어자가 다른 방법으로는 얻을 수 없는 정보입니다. 당사는 독자적인 글로벌 관찰 네트워크를 사용하여 트래픽 신호를 분석하고, 이를 통해 플랫폼이 특정 IP 주소와 연결된 국가를 식별할 수 있도록 합니다. 따라서  프록시 서버의 위치뿐 아니라  트래픽의 실제 물리적 발생지를 파악할 수 있습니다.

Traffic Origin은 기업이 전 세계 위협 행위자를 즉시 ​​식별하는 데 사용할 수 있는 핵심적인 정보 보강 기능을 제공하여 악의적인 행위를 밝혀냅니다. 예를 들어 북한 IT 직원이 사설 프록시를 사용하여 실제 위치를 숨기고 사기성 취업을 시도하는 사례를 파악할 수 있습니다. 또한 Traffic Origin을 사용하면 직원 로그인 정보를 자동으로 분석하여 IP 주소가 의도치 않은 위치나 국가에서 발생하는 트래픽을 숨기고 있는지 확인할 수 있습니다.

Traffic Origin은 수천만 개의 가정용 프록시 IP와 해당 서비스 제공업체를 식별하는 당사의 독자적인 가정용 프록시 데이터와 상호 보완적인 역할을 합니다. 이 두 솔루션을 함께 사용하면 고객은 전 세계적으로 범죄 목적으로 임대된 IP와 정상적인 가정용 IP를 구분할 수 있습니다.

Silent Push의 선제적 사이버 방어팀은 고객을 위한 새로운 통찰력과 연구 기회를 발굴하기 위해 트래픽 발생지 데이터 세트를 정기적으로 분석합니다. 이러한 기회가 어떤 모습인지 독자들이 더 잘 이해할 수 있도록, 품질이 낮은 중국 VPN(가상 사설망) 제공업체와 연결된 일련의 IP 주소 및 도메인에 대한 조사 사례를 아래에 공유합니다.

러시아, 중국, 미얀마, 이란, 베네수엘라의 기기에서 정체불명의 중국 VPN이 사용되고 있습니다.

트래픽 발생지 데이터에서 IP 주소 205.198.91[.]155는 러시아, 중국, 미얀마, 이란, 베네수엘라의 기기를 포함하는 독특한 트래픽 발생지 분포를 보인다는 점에서 주목할 만합니다. 특정 IP 주소가 이러한 지역 에서만 관찰되는 것은 매우 이례적인 현상입니다 .

IP 205.198.91[.]155에 대한 트래픽 출처 총 보기

해당 IP 주소를 더 자세히 살펴보면, PADNS 데이터에 따르면 2025년 11월 이후 해당 IP 주소에 매핑된 유일한 도메인은 lvcha[.]in이며 , 이는 해당 트래픽이 이 도메인과 관련이 있을 수 있음을 시사합니다.

IP 주소 205.198.91[.]155 에 대해 도메인 lvcha[.]in 에 매핑된 DNS A 레코드

Total View에서 lvcha[.]in 을 더 자세히 살펴보면 , 해당 도메인은 2024년 3월에 NameSilo에 등록되었으며 중국어 VPN을 호스팅하는 것으로 보입니다.

lvcha[.]in 에 대한 전체 보기 에서 등록기관 및 메타데이터 주요 내용을 보여줍니다.

LVCHA VPN 웹사이트에 접속해 보면 기본 언어가 중국어(만다린어)로 설정되어 있고, 구글 플레이 스토어를 거치지 않고 안드로이드 APK(안드로이드 패키지 키트) 파일만 직접 다운로드할 수 있도록 제공하고 있음을 알 수 있습니다.

다음은 영어 번역으로 본 사이트의 모습입니다(아래 참조). 눈에 띄게 표시되어 있지만 정확하지 않아 보이는 면책 조항에 주목하세요. "이 앱은 Google 보안 인증을 통과했습니다. 안심하고 설치하고 사용하세요."LVCHA VPN 웹사이트 (lvcha[.]in) 의 번역본입니다.

이 VPN 앱과 도메인이 예상치 못한 트래픽 발생지 데이터와 일치하므로, 웹 검색 데이터에서 수집한 수십 개의 검색 가능한 메타데이터 필드를 사용하여 해당 도메인을 추가로 조사할 수 있습니다.

lvcha[.]in 에 대한 전체 웹 검색 결과 보기

우리는 신속하게 더 큰 규모의 의심스러운 도메인 그룹으로 연결되는 몇 가지 필드를 식별했는데, 이 도메인들은 모두 동일한 VPN을 홍보하고 있었습니다.

이러한 피벗 포인트를 제공하는 필드 중 일부는 다음과 같습니다.

• body_analysis.js_ssdeep – 유사한 스크립트를 감지하기 위한 JavaScript 콘텐츠의 퍼지 해시(ssdeep).
  • datasource = [“webscan”] AND body_analysis.js_ssdeep = “24:toiwDsbneK8Ki3vr5y7zrlqCWJTI/Rk m5vY50lCvbHOPQ/:5wDrK8Ksr5y7zrlqCWJTL EWvbuPQ/”
• body_analysis.telegram – 페이지에서 캡처한 텔레그램 계정 URL
  • datasource = [“webscan”] AND body_analysis.telegram = “https://t.me/lvchavpn”
• favicon_md5 – 파비콘 바이너리의 MD5 해시
  • datasource = [“webscan”] AND favicon_md5 = “994dfe8573747f2b90e4d32b5ae07fc6”

lvcha[.]in 에 대한 확장된 웹 검색 결과

Silent Push의 웹 검색 (커뮤니티 에디션) 을 사용하여 위의 쿼리 중 하나를 실행하면 동일한 복제 VPN 콘텐츠가 포함된 거의 50개의 도메인이 반환됩니다.

1. lcabc[.]icu
2. lcapi[.]shop
3. lcapp[.]bar
4. lcapp[.]본드
5. lcapp[.]cfd
6. lcapp[.]cyou
7. lcapp[.]icu
8. lcapp[.]my
9. lcapp[.]qpon
10. lcapp[.]sbs
11. lcapp[.]shop
12. lcapp[.]xyz
13. lcpro[.]bar
14. lcpro[.]본드
15. lcpro[.]cc
16. lcpro[.]cfd
17. lcpro[.]cyou
18. lcpro[.]icu
19. lcpro[.]qpon
20. lcpro[.]sbs
21. lcpro[.]shop
22. lcpro[.]top
23. lcpro[.]vip
24. lcvpn[.]본드
25. lcvpn[.]cc
26. lcvpn[.]cfd
27. lcvpn[.]cyou
28. lcvpn[.]qpon
29. lcvpn[.]sbs
30. lcvpn[.]shop
31. lcvpn[.]top
32. lcvpn[.]xyz
33. 루프vpn[.]org
34. lvcha[.]in
35. lvcha[.]org
36. lvcha[.]qpon
37. lvcha[.]sbs
38. lvcha[.]store
39. lvchaapp[.]본드
40. lvchaapp[.]cc
41. lvchaapp[.]cyou
42. lvchaapp[.]icu
43. lvchaapp[.]pw
44. lvchaapp[.]site
45. lvchaapp[.]store
46. lvchaapp[.]vip
47. lvchavpn[.]본드
48. lvchavpn[.]cfd
49. lvchavpn[.]one

의심스러운 다운로드나 제품을 홍보하는 캠페인에서 여러 도메인을 사용하는 것을 발견할 경우, 이는 해당 운영자가 배포를 시도하는 지역의 국가 방화벽을 우회하기 위해 도메인을 순환 사용하고 있음을 나타낼 수 있습니다. 이러한 행위는 중국의 강력한 IP 차단 시스템인 만리장성 방화벽(Great Firewall of China)을 우회하려는 캠페인에서 흔히 관찰되며, 이 시스템은 러시아 , 이란 , 미얀마 , 베네수엘라 등에서도 사용되고 있습니다. 이 특정 VPN 제공업체로 연결되는 트래픽 출처(Traffic Origin)에서 이러한 국가들이 확인되었습니다.

원래 웹사이트에서 LVCHA VPN HTML 제목, 파비콘 또는 텔레그램 URL을 재사용하는 웹 검색 결과를 조사하는 동안 해당 콘텐츠가 앞서 언급한 ASN의 IP 주소인 205.198.91[.]136 에 호스팅된 것으로 확인되었습니다.

사설 프록시 데이터베이스에서 이 IP 주소를 자세히 분석한 결과, " Asocks proxies "( asocks[.]com )라는 사설 프록시 제공업체에서 사용하고 있는 것으로 나타났습니다. 트래픽 발생지 데이터는 이전 IP 주소에서 확인했던 것과 유사하지만, 우크라이나에서도 접속 기록이 있다는 점에서 약간의 차이가 있습니다.

205.198.91[.]136 에 대한 트래픽 발생지 총 조회수

IP 주소 205.198.91[.]136 에 대한 트래픽 출처 데이터는 아래와 같이 러시아가 점령한 우크라이나 동부에서 사용되고 있음을 확인시켜 줍니다.

205.198.91[.]136 의 트래픽 발생지 총 보기 (우크라이나 지역 확대)

이 VPN에 연결된 마지막 IP 주소 중 주목할 만한 것은 194.147.16[.]244 입니다. 이 주소는 catixs[.]com 이 소유한 영국 네트워크인 AS48266에 속합니다 . 이 글을 작성하는 시점(2026년 1월) 기준으로, 이 IP 주소는 Total View 개요에서 볼 수 있는 LVCHA VPN과 동일한 콘텐츠를 호스팅하고 있습니다.194.147.16[.]244 에 대한 트래픽 발생지 총계 보기 하이라이트

이 IP 주소는 이전에 확인된 여러 국가(러시아, 중국, 이란, 미얀마)의 트래픽 발생지 데이터에서 다시 나타났습니다. 또한 일본에서 한 건, 방글라데시에서 여러 건, 카자흐스탄-키르기스스탄 국경 지역에서 대규모 클러스터, 조지아에서 추가, 그리고 러시아 서부 우크라이나 국경 근처에서 새로운 클러스터가 발견되었습니다.194.147.16[.]244 에 대한 트래픽 발생지 총 보기

이 지도를 확대해 보면 러시아 모스크바에서 이 IP 주소의 사용량이 매우 높은 것을 알 수 있습니다.

194.147.16[.]244 에 대한 트래픽 발생지 총계 보기 ( 러시아 지역 확대)

의심스러운 연결이 조직에 악영향을 미치기 전에 차단하세요

국내 신분과 안전한 사설 IP 주소를 단 몇 달러에 임대할 수 있는 시대에 신뢰는 오히려 부담이 됩니다. 정확한 규정 준수는 단순히 여권을 확인하는 것 이상을 요구하며, 물리적 및 기술적 수준 모두에서 연결이 어떻게 작동하는지 검증해야 합니다. 상위 접속 지점을 파악할 수 없다면, 방어 체계는 사후 대응에 그치고 불완전해질 수밖에 없습니다. 전문 사기꾼이나 "보이지 않는 내부자"가 기존 방어망을 뚫고 들어오기 전에 차단할 수 있는 중요한 기회를 놓칠 위험이 있습니다.

Traffic Origin은 고객확인(KYC), 자금세탁방지(AML) 및 사기 방지 워크플로가 디지털 기만 행위가 아닌 기술적 진실에 기반하도록 보장하는 데 필요한 가시성을 제공하여 조직을 보호할 수 있습니다.

국가 지원을 받는 해커들이 도용한 신분과 위조된 위치를 이용할 경우, 신원 조사만으로는 조직을 보호하기에 충분하지 않습니다. 원격 근무자가 주장하는 위치에 실제로 있는지 확인하는 것이 필수적입니다.