TV 스트리밍 박스를 구매하면, 전혀 기대하지 않는 문제가 발생한다. 스트리밍 박스가 멀웨어를 몰래 잔뜩 숨기거나 기기 실행 시 중국 서버와 통신을 시작해서는 안 된다. 조직화된 범죄 조직이 사기 행위로 거액의 범죄 수익을 기록하는 노드 역할을 해서도 안 된다. 그런데 저가 안드로이드 TV 장비를 구매한 소비자 수천 명이 인지하지 못하는 사이에 실제로 발생하는 문제이다.
2023년 1월, 보안 연구원 대니얼 밀리식(Daniel Milisic)이 T95라는 저가 안드로이드 TV 스트리밍 박스가 실행되는 즉시 멀웨어에 감염된 사실을 발견했다. 다른 보안 연구원 여러 명도 밀리식 연구원이 발견한 사실을 확인했다. 2023년 10월 4일(현지 시각), 사이버 보안 기업 휴먼 시큐리티(Human Security)는 멀웨어에 감염된 기기와 멀웨어를 숨긴 채로 기기에 연결된 스트리밍 박스와 관련된 사기 조직망을 자세히 설명하는 내용의 신규 보고서를 발행했다.
연구팀이 와이어드에 단독으로 공유한 보고서에 따르면, 휴먼 시큐리티 연구팀은 백도어가 설치된 안드로이드 TV 박스 7대와 태블릿 한 대를 발견하고, 안드로이드 기기 200여 가지 모델이 백도어 영향을 받았다는 사실을 확인했다. 몰래 설치된 백도어의 영향을 받은 기기는 미국 전역의 가정, 사무실, 학교에 설치된 기기로 드러났다. 반면, 연구팀은 피해자가 범죄 조직의 자금을 결제하도록 유도하는 스트리밍 박스를 이용한 멀웨어와 연결된 사기 광고를 제거했다.
휴먼 시큐리티의 사토리 위협 정보 및 연구팀을 이끄는 최고 정보보호 책임자 개빈 레이드(Gavin Reid)는 “사용자가 인지하지 못한 사이에 멀웨어를 설치한 스트리밍 박스는 인터넷 사기 및 온라인 범죄를 개시할 때 여러 목적으로 이용할 수 있는 스위스 군용 칼과 같은 존재이다. 실제로 스트리밍 박스는 각종 사기 개시 방법을 널리 유포한다”라고 말했다. 레이드는 휴먼 시큐리티가 사기 및 각종 사이버 범죄에 동원된 스트리밍 박스 제조 시설의 상세 정보를 법률 집행 기관에 공유했다고 밝혔다.
휴먼 시큐리티의 연구는 다음과 같이 두 가지 범주로 분류됐다. 하나는 안드로이드 기기 보안 침해와 사기, 사이버 범죄 개시에 동원된 ‘배드박스(Badbox)’이다. 나머지 하나는 안드로이드 및 iOS 앱 최소 39개가 동원된 광고 사기 작전과 관련된 이른바 ‘피치핏(Peachpit)’이다. 구글은 휴먼 시큐리티의 연구 결과 발표 후 문제가 된 앱을 모두 삭제했다고 발표했다. 애플은 휴먼 시큐리티가 보고한 몇 가지 앱에서 문제를 발견했다고 전했다.
[사진=Unsplash]
먼저, 배드박스를 더 자세히 살펴보자. 보통 50달러 미만이면 구매할 수 있는 저가 안드로이드 스트리밍 박스는 온라인 주문과 실제 매장 방문을 통해 구매할 수 있다. 저가 셋톱박스는 종종 브랜드가 없거나 다른 이름으로 판매된다. 그 부분적인 이유는 제품 생산 출처가 확실하지 않기 때문이다. 휴먼 시큐리티 연구팀은 2022년 하반기에 발행한 보고서에 인증되지 않은 트래픽과 관련되었으며, flyermobi.com 도메인과 연결된 앱을 발견했다고 밝혔다. 밀리식 연구원이 T95 안드로이드 스트리밍 박스 보안 문제를 설명한 연구 보고서를 발행했을 당시에도 flyermobi 도메인을 지적했다. 휴먼 시큐리티 연구팀은 T95를 포함한 안드로이드 TV 스트리밍 박스 여러 가지 모델을 구매하고, 더 자세히 연구하기 시작했다.
휴먼 시큐리티 연구팀은 8가지 모델에 백도어가 설치된 사실을 확인했다. 휴먼 시큐리티가 발견한 문제의 기기는 T95, T95Z, T95MAX, X88, Q9, X12PLUS, and MXQ Pro 5G 등 TV 박스 7대와 태블릿 기기인 J5-W이다. (일부 기기의 문제는 지난 몇 달간 스트리밍 박스 보안 문제를 연구하던 다른 연구팀도 확인했다.) 데이터 과학자 마리온 하비비(Marion Habiby)가 제1 저자로 이름을 올린 휴먼 시큐리티 연구팀의 보고서에는 미국 학교에 설치된 일부 기기를 포함하여 전 세계 안드로이드 기기 최소 7만 4,000대에서 멀웨어 감염 조짐이 포착되었다고 기술되었다.
보안 문제가 발견된 스트리밍 박스는 중국에서 생산됐다. 기기 재판매자에게 전달되기 전 어느 한순간에 펌웨어 백도어가 기기에 추가된다. 그러나 연구팀은 백도어가 설치되는 정확한 시점을 확인하지 못했다. 2016년, 보안 기업 카스퍼스키(Kaspersky)가 처음 발견한 Triada 멀웨어를 기반으로 한 안드로이드 TV 스트리밍 박스의 백도어는 안드로이드 운영체제 구성요소 한 가지를 조작하고는 기기에 앱을 설치하도록 유도한다. 그리고 홈으로 연결한다. 레이드는 “사용자가 알지 못하는 사이에 스트리밍 박스에 연결하면, 중국에서 명령 및 제어(C2)가 실행되고는 각종 보안 문제를 일으키는 멀웨어를 설치하여 시작하게 된다”라고 설명했다.
휴먼 시큐리티는 보안이 저하된 기기와 연결된 다양한 사기 유형을 추적했다. 광고 사기와 멀웨어 설치 세력이 피해자의 가정용 네트워크 접근 권한을 판매하는 거주지 프록시 서비스, 기기 연결을 이용한 가짜 지메일 및 왓츠앱 계정 생성, 원격 코드 실행 등이 관련된 것으로 나타났다. 멀웨어 설치 세력은 가정용 네트워크 접근 권한을 상업 목적으로 판매했다. 휴먼 시큐리티 연구팀은 보고서를 통해 공격 세력이 접근한 가정 IP 주소는 1,000만 개 이상, 모바일 IP 주소는 700만 개에 이른다고 밝혔다.
휴먼 시큐리티 연구팀의 조사 결과는 다른 연구팀과 현재 진행 중인 조사 결과와도 같다. 보안 기업 트렌드 마이크로(Trend Micro) 수석 위협 연구원 표도르 야로치킨(Fyodor Yarochkin)은 안드로이드 기기에 백도어를 설치한 중국 위협 조직 두 곳을 발견했다. 두 조직 중 한 곳은 기기 깊은 곳에 백도어를 설치했으며, 나머지 한 곳은 휴먼 시큐리티도 발견한 조직이다. 야로치킨 연구원은 “두 조직이 설치한 백도어의 기기 감염 상황이 매우 비슷하다”라고 전했다.
트렌드 마이크로는 중국에서 조사한 조직의 최전방 기업을 발견했다. 야로치킨 연구원은 “스트리밍 박스에 백도어를 설치한 조직은 전 세계 2,000만 대가 넘는 기기를 감염시켰으며, 최대 200만 대가 온라인에 접속했다고 주장했다”라고 말했다. 이어서 트렌드 마이크로의 최신 네트워크 데이터를 제시하며, 중국 조직의 주장이 사실이라고 확신했다. 그는 “유럽 어느 한 박물관에 설치된 태블릿도 감염되었다”라며, 차량용 시스템을 포함한 포괄적인 영역의 안드로이드 시스템이 감염되었을 가능성을 덧붙여 언급했다. 야로치킨 연구원은 “공급망의 멀웨어 감염을 일으키기 쉽다. 반면, 제조사가 멀웨어 감염 사실을 감지하는 일은 어렵다”라고 말했다.
그다음으로 살펴볼 문제는 피치핏이다. 앱 기반 사기 요소인 피치핏은 TV 박스와 인드로이드, iOS 기기에 동원되었다. 휴먼 시큐리티는 안드로이드 앱과 iOS 앱, TV 박스 앱 등 앱 총 39개가 피치핏에 이용된 것으로 확인했다. 휴먼 시큐리티 보안 연구원 호아오 산토스(Joao Santos)는 “품질이 우수하지 않은 템플릿 기반 앱이다”라고 전했다. 복근 단련 앱과 물 섭취량 기록 앱에서도 피치핏을 이용한 보안 문제가 발견됐다.
앱은 숨겨진 광고 게재, 웹 트래픽 감시, 광고 내 멀웨어 포함 등 각종 사기를 개시한다. 휴먼 시큐리티 연구팀은 피치핏 배후 세력과 배드박스 배후 세력은 다르지만, 어느 정도 협력했을 가능성이 있다고 본다. 산토스 연구원은 “피치핏 배후 세력은 광고 사기 관련 소프트웨어 개발 키트를 보유했다. 또, 연구팀은 배드박스에 적용된 모듈 이름과 같은 소프트웨어 개발 키트를 발견했다. 연구팀이 발견한 스트리밍 박스 백도어 설치 세력의 또 다른 관계이다”라고 설명했다.
휴먼 시큐리티 연구팀은 백도어 설치와 관련된 광고가 받는 광고 요청이 하루당 약 40억 건에 이르며, 안드로이드 기기 12만 1,000대와 iOS 기기 15만 9,000대가 백도어어에 감염된 것으로 확인했다. 악성 광고 때문에 백도어어에 감염된 안드로이드 앱 다운로드 횟수는 총 1,500만 건에 이르는 것으로 추산된다. (배드박스는 안드로이드 기기에서만 발견됐다.) 레이드는 광고 산업의 복잡함 때문에 정확한 결과를 제시하지 못한 휴먼 시큐리티의 데이터를 기준으로 백도어 설치 배후 세력의 한 달간 범죄 수익이 손쉽게 200만 달러에 육박할 것으로 추산했다.
구글 대변인 에드 페르난데즈(Ed Fernandez)는 휴먼 시큐리티가 문제를 보고한 안드로이드 앱 20개를 플레이스토어에서 삭제했다고 전했다. 페르난데즈 대변인은 “밴드박스에 감염된 사실이 확인된 브랜드가 확실하지 않은 기기는 플레이 프로텍트(Play Protect) 인증 안드로이드 기기가 아니다”라며, 구글의 안드로이드 기기용 보안 검사 시스템을 언급했다. 이어, “플레이 프로텍트 인증이 되지 않았다면, 구글은 보안과 호환성 테스트 결과를 보유하지 않는다”라고 덧붙였다. 구글은 공인 안드로이드 TV 협력사 목록도 공개했다. 애플 대변인 아르첼레 텔레마퀴(Archelle Thelemaque)는 휴먼 시큐리티가 보고한 앱 5개가 자체 규정을 위반한 사실을 확인했으며, 문제가 된 앱 개발자에게 14일 이내로 규정을 준수하도록 시정하도록 요구했다. 지금까지 4개 앱 개발자가 문제를 시정했다.
2022년 말과 2023년 초 휴먼 시큐리티는 배드박스와 피치핏의 광고 사기 요소 대응에 나섰다. 휴먼 시큐리티가 공유한 데이터에 따르면, 백도어 설치 목적의 사기성 광고 요청 모두 완벽히 제거되었다. 그러나 백도어 설치 배후 세력은 실시간으로 백도어 유포 전략을 변경한다. 산토스 연구원은 처음 보호 조치를 시행하자 백도어 설치 배후 세력이 불분명한 업데이트를 전송하기 시작했다고 전했다. 이후 배드박스 배후 세력이 펌웨어 백도어를 실행하는 C2 서버를 중단했다고 덧붙였다.
백도어 유포 속도가 이전보다 느려졌으나 백도어가 설치된 스트리밍 박스 다수는 지금도 사용자 가정에 설치된 채로 네트워크에 접속된 상태이다. 기술적 역량이 없다면, 멀웨어를 없애기 어렵다. 레이드는 “배드박스가 스파이 잠입 지점 역할을 한다고 보면 된다. 스트리밍 박스에 숨어서 멀웨어를 설치하도록 지시할 때를 기다리고 있다”라고 말했다. 결과적으로 TV 스트리밍 박스를 구매하고자 한다면, 제조사가 확실하면서 신뢰할 수 있는 브랜드 제품을 구매해야 한다. 레이드는 “가정용 네트워크를 의심스러운 사물인터넷(IoT) 기기에 연결하도록 해서는 안 된다”라고 경고했다.
** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Unsplash]](/news/photo/202310/5070_6600_4425.jpg)
뉴스레터 신청