제재 이후 트라이어드 넥서스/FUNNULL 인프라 재건

이벤트 개요

Triad Nexus는 아시아 조직 범죄 생태계와 연계된 사기 인프라 네트워크로, 암호화폐 투자 사기와 정교한 브랜드 사칭에 주력하고 있습니다. 역사적으로 이 네트워크는 FUNNULL CDN과 밀접한 관련이 있습니다. 2025년 5월, 미국 재무부는 FUNNULL을 "수십만 개"의 가상화폐 투자 사기 웹사이트를 지원하는 인프라 제공업체로 지정하며, 미국 피해자들이 2억 달러 이상의 손실을 신고한 사건들과 직접적인 연관성이 있음을 지적했습니다. 같은 기간, FBI는 민간 부문과 CNAME 및 도메인 침해 지표(IOC)를 공유하는 FLASH 보고서를 발표했습니다.

2026년 4월, Silent Push는 해당 네트워크가 제재 이후 "FUNNULL 제거" 및 인프라 세탁 절차를 완료했다고 밝혔습니다. 여기에는 프런트엔드 운영의 리브랜딩, "깨끗한" 유령 회사의 활용, 미국을 대상으로 한 지오펜싱(geofencing) 구현, 그리고 베트남, 인도네시아 및 스페인어권 시장으로의 사업 확장이 포함되었습니다.

비기술적 독자들을 위해 설명하자면, 이 사건의 핵심은 특정 "바이러스&"가 아니라 산업화된 사기 플랫폼입니다. 이는 SaaS(서비스형 소프트웨어)처럼 작동하여 도메인을 대량 생성하고, 클라우드 IP를 순환시키며, 위조된 페이지 템플릿을 재사용해 피해자를 사기성 투자, 결제 또는 KYC 페이지로 유도합니다. 본질적으로 이는 개별적인 가짜 웹사이트들의 집합체가 아니라 "사기 공급망"입니다.

타임라인

다음 타임라인은 네트워크의 진화 과정을 추적하면서 지난 30일 이내에 공개된 재구성 사건들을 강조합니다:

타임라인의 주요 증거로는 2025년 5월 29일자 재무부의 제재 발표, 같은 날 발행된 FBI의 FLASH 보고서, 그리고 2026년 4월 14일자 "제재 이후의 지속성"에 관한 Silent Push의 기술 공개 자료가 있습니다." 재무부는 FUNNULL이 "수십만 개"의 영향을 받은 웹사이트를 지원했다고 명시적으로 밝혔으며, FBI는 기술 공지를 통해 해당 인프라가 548개의 CNAME 레코드와 332,000개 이상의 함수 변수 이름으로 구성되어 있다고 정량화했습니다.

공격 체인 분해

이 맥락에서 "측면 이동(Lateral Movement)"이라는 개념을 명확히 하는 것이 중요합니다. 기존의 기업 침입 사례에서 측면 이동이란 공격자가 내부 네트워크 내에서 한 호스트에서 다른 호스트로 이동하는 것을 의미합니다. Triad Nexus/FUNNULL의 경우, 공개된 증거에 따르면 초점은인프라 측면 이동에 있는 것으로 보입니다. 이는 서로 다른 브랜드, 국가 및 최상위 도메인(TLD) 전반에 걸쳐 동일한 템플릿, CNAME 루트 도메인, 클라우드 IP 및 결제 스크립트를 신속하게 복제하는 것을 포함합니다.

주요 기술 및 운영 포인트

l 재사용 가능한 인프라의 무기화: 복잡한 취약점보다는 합법적인 클라우드 공급자로부터 IP를 대량으로 조달한 후, 이를 사기 그룹에 재판매하는 것이 핵심입니다. 이들은 도메인 생성 알고리즘(DGA)을 사용하여 수많은 유사한 도메인을 생성하고, 신뢰할 수 있는 브랜드를 사칭하기 위한 템플릿을 제공합니다.

l 인프라 세탁: 제재 이후, 이 네트워크는 유령 회사와 다층적인 CNAME을 사용하여 평판이 좋은 클라우드 공급자와 콘텐츠 전송 네트워크(CDN) 뒤에 사기 사이트를 숨깁니다. 이들은 Amazon, Cloudflare, Google, Microsoft와 같은 생태계의 인프라와 평판을 활용하는 한편, AS152194 (CTG Server Limited)를 중추로 삼고 있습니다.

l CNAME 체인 및 도메인 로테이션: 이 네트워크는 9개의 고정된 CNAME에서 175개 이상의 무작위로 생성된 CNAME으로 진화했습니다. FBI 보고서에 따르면 548개의 고유 CNAME과 관련된 332,000개 이상의 고유 도메인이 확인되었습니다.

l 템플릿화된 브랜드 사칭: 자산은 은행, 핀테크, 명품 소매, 물류 및 공공 서비스를 포괄합니다. 이러한 템플릿은 조작된 관계와 가짜 수익 곡선을 활용하는 "Pig Butchering" 전술과 결합됩니다.

l 정찰 회피: 이 네트워크는 지오펜싱을 사용하여 미국 방문자에게 "451 법적 사유로 이용 불가" 메시지를 반환함으로써 법 집행 기관의 추적을 회피합니다. 이들은 합법적인 CDN 서비스(예: cdnbl[.]com, Yunray[.]ai)로 위장하고 텔레그램(t[.]me/sara5433)을 통해 소통합니다.

l 자산 유동화: 이 네트워크는 여러 암호화폐(BTC, ETH, USDC 등)를 지원하며, 일반적으로 48시간 이내에 탈취한 자산을 이동시켜 자금 동결 가능성을 최소화합니다.

증거 및 주요 IOC

아래 표는 공개된 대표적인 IOC/추적 가능한 특징만을 나열한 것으로, 전체 목록을 구성하지는 않습니다. CNAME/기능 변수 이름의 전체 목록은 훨씬 더 길며, FBI FLASH는 공개된 IOC가 그 일부에 불과함을 명시하고 있습니다.

원본 회로도 및 스크린샷은 Silent Push 보고서의 CNAME 스키마 다이어그램 및 프론트엔드 회사 인터페이스와 FBI FLASH의 CNAME 및 함수 변수 IOC 목록에서 직접 확인할 수 있습니다. 이번 공개 정보에는 신뢰할 수 있는 공개 샘플 해시나 백엔드 IP의 완전한 일대일 매핑이 포함되어 있지 않으므로, 본 보고서는 기업 방어 팀이 즉시 차단하기에 더 적합한 루트 도메인, 스푸핑된 도메인, 해결 체인, 클라우드 ASN 주소 및 운영 접점에 IOC 분석을 집중합니다.

대응 및 처리 권고 사항

기업을 위한 권고 사항:

l 방어 전략 업그레이드: 단일 도메인 차단에서 도메인 패밀리 + CNAME 체인 + 클라우드 랜딩 포인트 모니터링으로 전환하십시오. CNAME 체인 역추적 및 인증서 투명성(CT) 모니터링을 구현하십시오.

l 대역 외 검증: 모든 결제, KYC 또는 투자 요청에 대해 대역 외 검증을 의무화하십시오. 의심스러운 메시지 스레드 내에 제공된 링크는 절대 사용하지 마십시오.

l 통합 사고 대응: SOC, 법무 및 고객 서비스 팀이 동일한 증거 저장소를 공유하여 정보의 사일로를 방지하십시오.

l 포렌식 증거 보존: 향후 법적 복구를 지원하기 위해 "정리" 삭제를 수행하기 전에 스크린샷, 전체 URL, CNAME 체인 및 전송 기록을 보존하십시오.

l 피싱 방지 인증: 기존 비밀번호 대신 패스키(FIDO2) 사용을 장려하여 피싱 성공률을 대폭 낮춥니다.

개인 사용자를 위한 조치:

l 즉시 중단: 사기 행각과 관련된 상호작용이 의심되면 즉시 중단하십시오. 은행에 연락하여 계좌를 동결하거나 남은 암호화폐 자산을 완전히 새로운 주소로 이동하십시오.

l 공식 채널만 이용: 공식 웹사이트를 통해서만 비밀번호를 변경하고, 알 수 없는 세션을 취소하십시오.

l 하드웨어 지갑: 암호화폐 사용자의 경우, 고가 자산을 하드웨어 지갑에 분리 보관하는 것이 도난 후 복구를 시도하는 것보다 더 효과적입니다.

l 화면 공유 경고: 전화나 Google Meet을 통해 "공식" 지원팀이라고 주장하는 사람의 지시에 따라 절대로 화면을 공유하거나 앱을 설치하지 마십시오.

탐지 및 원인 규명 방법

보안 분석가의 경우, 이러한 유형의 사고에는 3단계의 원인 규명에 대한 투자가 필요합니다:

1단계: 도메인 및 인프라 계층:

l 분석가는 신고된 URL, 페이지 스크린샷 또는 이메일 헤더를 사용하여 도메인 등록 날짜, 인증서(및 인증서 배치), HTML 제목, 파비콘 및 CNAME 루트 도메인을 역조회해야 합니다. 

l 목표는 다단계 해결을 수행하여 공유되는 중간 도메인과 클라우드 랜딩 지점을 식별하는 것입니다.

l FBI 기술 경보 및 Silent Push 링크 예시는 사기성 인프라가 종종 "고객 도메인 → 중간 CNAME → 최종 A 레코드" 구조를 사용하여 스스로를 "세탁"하는 경우가 많다는 것을 보여줍니다.

레이어 2: 금융 레이어:

l 암호화폐가 관련된 경우, 첫 번째 홉 주소, 인증 기록, 거래 해시 및 타임스탬프를 우선적으로 확보해야 합니다. 

l TRM은 이러한 사기 네트워크가 종종 48시간 이내에 자산을 이체한다고 지적합니다. 따라서 신고 전에 주소, TxID, 금액, 시간, 사용된 체인, 거래소/지갑 정보를 준비해 두는 것이 자금 동결에 매우 중요합니다. 

l '오퍼레이션 애틀랜틱(Operation Atlantic)'이 일주일 만에 1,200만 달러 이상을 동결하는 데 성공한 것은 근본적으로 온체인 인텔리전스, 피해자 통지, 법적 동결 조치가 동시에 진행되었기 때문입니다.

레이어 3: 사회공학 연계 레이어:

l SMS, 소셜 미디어 DM, 통화 녹음, 가짜 고객센터 번호, 대본, 원본 이메일, 화면 공유 초대, 회의 링크, 그리고 모든 "공식 문서"의 스크린샷을 포함한 초기 접촉 지점을 보존하십시오. 

l 종종 여러 사기 사이트를 하나의 조직으로 연결하는 것은 단일 IP가 아니라, 공유된 스크립트 템플릿, 광고 문구, 고객 서비스 매뉴얼, 정산표, 운영 주기입니다.

l 'Silent Push' 보고서에 언급된 텔레그램 연락 창구와 위장 회사는 이러한 "운영 IOC"의 예시입니다. 

법적 준수 및 복구 고려 사항

법적 조치 및 신고

l 기업 대상: 브랜드가 사칭당하고 있는 경우, 기업은 법 집행 기관 신고, 등록기관/호스팅 업체에 대한 삭제 요청, 고객 알림이라는 세 가지 경로를 동시에 추진해야 합니다.

l 개인 대상: 즉시 지역 경찰이나 사기 방지 플랫폼에 신고하십시오. 암호화폐 자산을 보유한 경우 거래소, 지갑 제공업체 및 온체인 신고 플랫폼에도 관련 자료를 제출해야 합니다. 

l '오퍼레이션 애틀랜틱(Operation Atlantic)'에서 NCA, TRM, 체인애널리시스(Chainalysis)가 얻은 교훈은 분명합니다. 신고가 빠를수록 자금이 거래소를 빠져나가기 전에 동결될 가능성이 높아집니다.

규정 준수 및 실사

l 금융 기관, 거래 플랫폼, 결제 회사 및 주요 브랜드 운영사는 호스팅 업체/해결 체인/도메인 인텔리전스와 제재 심사를 제3자 위험 및 사기 방지 프로세스에 통합해야 합니다.

l 재무부의 FUNNULL 지정은 인프라 제공업체 자체가 제재 및 법 집행의 대상이 될 수 있음을 보여줍니다. 

l 사용자가 사기를 당하고 있는지 모니터링하는 것만으로는 더 이상 충분하지 않습니다. 조직은 자체 생태계 내에서 의심스러운 인프라가 지속적으로 나타나는지 모니터링해야 합니다.

복구 및 포렌식

l 웹 기반 사기: 사기가 웹페이지로만 국한된 경우(기기 감염 없음), 계정 및 재정적 손실 완화를 최우선으로 한 다음, 브라우저 관련 증거 자료를 보존하십시오.

l 악성 소프트웨어: 악성 앱이 설치되었거나 의심스러운 명령이 실행된 경우, 해당 기기를 잠재적 증거로 취급하십시오. 공장 초기화를 고려하기 전에 데이터 이미징/내보내기를 우선시하십시오. 

l 암호화폐 지갑: 복구 과정에는 권한 취소, 자산 이전, 새 지갑 생성, 관련 이메일/거래소의 비밀번호 및 MFA(다단계 인증) 재설정, 브라우저 확장 프로그램 및 알림 권한 확인이 포함되어야 합니다. 

l 모바일 사기: 접근성 서비스, SMS 읽기/쓰기 권한 및 잔여 관리자 권한의 남용 여부를 점검하십시오. 

참고 문헌

l 재무부, 주요 사이버 사기 조력자에 대한 조치 시행；https://home.treasury.gov/news/press-releases/sb0149

l 2023년 10월부터 2025년 4월 사이 암호화폐 투자 사기 관련 도메인 관리에 사용된 인프라 ；https://www.fbi.gov/

l 제재 이후의 지속성: 'Triad Nexus' 운영 인프라, 위협 행위자가 FUNNULL CDN과의 활동을 분리함에 따라 재탄생 ; https://www.silentpush.com/blog/triad-nexus-funnull-2026/

l 위협 브리핑: 이란 관련 사이버 위험의 고조 (4월 17일 업데이트) ；https://unit42.paloaltonetworks.com/iranian-cyberattacks-2026/

l 패스키(Passkeys)는 기존의 로그인 방식보다 더 안전합니다 ；https://www.ncsc.gov.uk/blogs/passkeys-are-more-secure-than-traditional-ways-to-log-in

l NCA 주도의 '오퍼레이션 애틀랜틱(Operation Atlantic)' 작전을 통해 암호화폐를 노리는 사기범들을 검거하고 1,200만 달러를 동결했습니다；https://www.nationalcrimeagency.gov.uk/news/fraudsters-targeting-cryptocurrency-stopped-and-12-million-frozen-in-nca-led-operation-atlantic

l Satori 위협 인텔리전스 경보: Pushpaganda, AI 생성 콘텐츠로 Google Discovery 피드를 조작해 악성 알림 유포 - HUMAN Security ；https://www.humansecurity.com/learn/resources/satori-threat-intelligence-alert-pushpaganda-manipulates-google-discovery-feeds-with-ai-generated-content-to-spread-malicious-notifications/