- 서밋
- 뉴스
- 재단
- 교육 및 자문
- 포커 투어
- 소개
최근 구글(Google) 연구진은 휴먼 시큐리티(HUMAN Security) 및 트렌드마이크로와 협력하여 인터넷에 연결된 안드로이드(Android) 기기에 영향을 미치는 최대 규모의 봇넷(botnet)인 BadBox 2.0을 발견했습니다. 사이버 범죄자 단속 노력을 이어가며, 구글은 이 봇넷 조직자를 상대로 뉴욕 연방 법원에 소송을 제기했습니다.
이 회사는 또한 불법 활동에 맞서기 위해 FBI와 협력하고 있다고 발표했습니다. FBI는 구글이 6월에 소송을 제기하기 전부터 BadBox 2.0 제거 작업에 착수했습니다. 양측의 공동 노력은 전 세계 소비자와 기업의 보호를 강화하는 것을 목표로 하고 있습니다.
구글, 감염된 기기 1,000만 대 보고
에 따르면, BadBox 2.0 봇넷은 오픈소스 안드로이드 소프트웨어(Android Open Source Project)를 실행하는 인증되지 않은 기기 1,000만 대 이상을 감염시켰습니다. 사이버 범죄자들은 사전 설치된 악성코드를 유포하고 이를 디지털 범죄에 악용했습니다.
봇넷(botnet)이란 악성코드에 감염된 컴퓨터나 인터넷 연결 장치들이 하나의 지휘 하에 움직이는 네트워크를 의미합니다. 이번 BadBox 2.0의 경우, 감염된 기기에서 사용자처럼 보이도록 백그라운드에서 실행됐습니다. 웹사이트에 따르면, 해당 봇넷은 다음과 같은 작업을 수행했습니다.
- 가짜 앱을 통해 배경에서 광고를 몰래 다운로드함;
- 도박 사이트를 배경에서 몰래 실행함;
- 광고 클릭을 시뮬레이션함;
이 사이버 범죄 네트워크에 연루된 기기들은 구글 플레이(Google 바카라)의 인증을 받지 않았기 때문에 구글의 표준 보안 검사를 우회할 수 있었습니다.
구글의 광고 트래픽 품질 팀은 이 위협을 식별하고 대응 조치를 취했습니다. 회사는 안드로이드에 내장된 악성코드 보호 시스템인 Google 바카라 Protect를 업데이트했습니다. 이를 통해 BadBox와 관련된 앱은 자동으로 차단됩니다.
“이러한 조치들이 사용자와 파트너의 안전을 확보하는 데 기여했지만, 이번 소송은 공격자들이 새로운 범죄와 사기를 저지르는 것을 막아 봇넷 배후의 범죄 활동을 더욱 약화시킨다”고 구글은 밝혔습니다.
BadBox 맬웨어(malware) 구현 방법
7월 17일 뉴욕 연방법원에 제출된 에 따르면, 중국 출신의 25명의 익명 인물이 BadBox 2.0 봇넷을 사용한 혐의를 받고 있습니다. 이들은 스마트폰뿐만 아니라 TV, 셋톱박스(set-top boxes) 및 기타 AOSP 기반 기기들도 감염시켰습니다. 범죄자들은 제조 단계에서부터 기기를 시장에 판매할 때와 서드파티 출처에서 앱을 설치할 때 소프트웨어를 배포했습니다.
BadBox 2.0 봇넷은 2024년 독일 법 집행기관에 의해 차단된 기존 BadBox의 업그레이드 버전입니다. 최초 BadBox 캠페인은 2023년에 발견되었으며, 이 역시 Android 운영체제를 침투했습니다. 당시 독일은 해당 네트워크의 도메인과 제어 인프라를 차단하는 데 성공했으나, 중국 측이 이를 복구한 것으로 알려졌습니다.
법적 조치는 범죄 예방뿐만 아니라 안드로이드 생태계의 신뢰와 이미지를 보호하기 위해서도 정당화됩니다.
이것은 구글이 겪은 첫 번째 사이버 공격이 아닙니다. 2021년, 구글은 당시 최대 규모였던 Glupteba 봇넷을 제거했으며, 이 봇넷은 약 백만 대의 윈도우 PC에 영향을 미쳤습니다.
Glupteba – BadBox의 전신
2021년 12월, 구글은 Engadget에 따르면 Glupteba 악성코드에 감염된 대규모 컴퓨터 네트워크를 차단했습니다. 당시 구글 팀은 러시아에 있는 Glupteba 조직자들을 추적했고, 향후 유사한 활동을 막기 위해 봇넷 운영자들에게 법적 책임과 위험을 부과하는 선례를 만들고자 이들을 상대로 소송을 제기했습니다.
회사에 따르면, 이 네트워크는 하루 약 1,000대의 장치가 추가되어 확장되었습니다. Glupteba 운영자들은 악성코드를 이용해 개인 데이터를 훔치고, 암호화폐 채굴을 하며, 트래픽을 우회시켰습니다. 워싱턴포스트에 따르면 해커들은 구글의 일부 서비스도 악성코드 배포에 활용했습니다.
봇넷을 조직하는 데 사용된 1,000개 이상의 계정을 차단하기 위해, 구글은 인터넷 인프라 제공업체들과 협력하여 조치를 취했습니다. 범죄 네트워크가 완전히 차단되는 것을 막기 위해 블록체인 기술을 사용한 점이 작전을 더욱 복잡하게 만들었습니다.
‘안타깝게도, 장애 허용 메커니즘으로서 블록체인 기술의 사용은 주목할 만하며 사이버 범죄 조직들 사이에서 점점 더 흔한 관행이 되고 있습니다’라고 당시 구글은 말했습니다.
이 기사는 2025년 7월 28일에 러시아어로 처음 게시되었습니다.
