[아이티데일리] 지난 3월 배드박스(BadBox)로 알려진 봇넷이 셋톱박스(STB), 프로젝터, 태블릿 등 100만 대 이상의 안드로이드 운영체제 탑재 기기를 오엽시키고 있다는 보고서가 나왔다. 그런데 최근 더 진보된 ‘배드박스 2.0’이 전 세계 222개국에서 최소 수백만 대의 안드로이드 기기에 감염되고 있다는 경고가 나왔다.

구글은 사용자 보호를 위해 조치를 취하는 동시에, 공격자에 대한 법적 대응도 시작했다고 공식 발표했다. FBI()미 연방수사국)는 배드박스 2.0에 감염된 사용자에게 기기를 즉시 인터넷에서 분리하라고 강력히 권고했다. 이 소식은 CNN, 로이터 등 다수의 매체를 통해 전해졌다.

권고안에 따르면 FBI의 사이버 보안 경고문 ‘I-060525-PSA’는 명확한 메시지를 전달하고 있다다. 현재 진행 중인 공격은 STB, 스마트TV 등 스트리밍 장치, 디지털 포토프레임, 서드파티 차량용 인포테인먼트 시스템, 기타 가정용 스마트 디바이스를 표적으로 한다. 또한, 안드로이드에 기본 탑재된 보안 기능인 ‘구글 플레이 프로텍트’의 인증을 받지 않은 태블릿도 포함된다. 이들 기기는 대부분 중국산이라는 특징이 있다. 특히 인증되지 않은 저가형 제품이 많다.

포브스 보도에 따르면 FBI는 “사용자가 제품을 구매하기 전부터 악성 소프트웨어가 기기에 심어져 있으며, 공격자가 가정 내 네트워크, 나아가 외부 네트워크에도 접근할 수 있다”고 경고하고 있다. 또한, 초기 설정 시 비공식 마켓플레이스를 통해 요구되는 ‘소프트웨어 업데이트’에 의해 악성 백도어가 추가될 가능성도 있다고 한다.

보안 기업 포인트와일드의 위협 인텔리전스 팀 LAT61은 배드박스 2.0 감염 과정을 리버스 엔지니어링해 새로운 침해 지표(IoC)를 발견하고, 이를 전 세계 컴퓨터 긴급 대응팀(CERT) 및 법 집행기관에 공유했다.

LAT61 팀은 “이 안드로이드 기반 악성코드(멀웨어)는 저가형 IoT 장치, 스마트 TV, TV 박스, 태블릿 등의 펌웨어에 (공장 출고 전부터) 미리 설치되어 있다. 사용자도 모르는 사이에 클릭 사기, 인증정보 공격, 은밀한 C2(명령 및 제어) 통신에 악용되는 ‘재택 프록시 노드’로 바뀌고 있다”고 말했다.

구글은 지난 7월 17일 “배드박스 2.0 운영자들을 뉴욕 연방지방법원에 제소했다”고 공식 발표했다. 또한 “구글 플레이 프로텍트를 업데이트해 배드박스 관련 앱을 자동으로 차단하도록 조치했다”고 밝혔다.

배드박스 2.0의 위협을 최초로 공개하고 차단한 것은 보안 기업 휴먼시큐리티의 ‘사토리 위협 분석팀’이었다. 팀은 “여러 위협 행위자가 배드박스 2.0에 관여했으며, 이들은 봇넷의 기반 인프라 구축, 감염 기기를 수익화하는 사기 모듈(광고 사기, 클릭 사기, 프록시 재판매 등)에 관련되어 있었다”고 분석했다. 이 봇넷은 전 세계 222개국 및 지역에 걸쳐 운영되었다고 한다.

휴먼시큐리티는 “우리가 발견한 배드박스 2.0 봇넷에 대해 구글이 신속히 대응한 것은 다행이다. 배드박스 2.0은 사용자 기기를 탈취하고 금전을 빼앗으며 소비자 모르게 착취하는 고도화된 사기 행위를 막는 큰 진전이다”라고 평가했다. 나아가 배드박스 차기 버전이 등장할 가능성이 높다는 경고도 내렸다.

FBI는 안드로이드 기기를 사용하는 사용자에게 감염 징후가 나타날 경우, 해당 기기가 배드박스 2.0에 감염되었을 가능성이 높다며 주의를 당부했다. 제시된 감염 징후는 ▲구글 플레이 프로텍트를 비활성화하라는 요구 ▲‘완전 잠금 해제’, ‘무료 콘텐츠 시청 가능’ 등으로 홍보된 스트리밍 기기 ▲이름을 들어본 적 없는 브랜드 제품 ▲초기 설정 시 비공식 앱 마켓에서 소프트웨어 설치 요구 ▲설명되지 않는, 수상한 인터넷 통신 발생 등이다. FBI는 이런 징후가 있을 경우 “의심스러운 기기를 네트워크에서 분리하는 것을 고려해야 한다”고 권고했다.