뉴스로 돌아가기
연구높음

배드박스 2.0 봇넷 운영자 확인: 중국 연계 사이버 위협 배후 주역 공개

4분 읽기출처: Krebs on Security
Diagram of Badbox 2.0 botnet control panel showing authorized user emails and connections to Chinese operators

사이버 보안 연구진이 1,000만 대 이상의 안드로이드 TV 기기를 감염시킨 중국 연계 배드박스 2.0 봇넷의 핵심 운영자를 특정했습니다. FBI와 구글이 조사 중인 이 위협의 실체와 대응 방안을 알아보세요.

사이버 범죄자의 자만으로 드러난 봇넷 운영자

사이버 보안 연구진은 1,000만 대 이상의 안드로이드 TV 스트리밍 기기를 감염시킨 중국 기반 사이버 위협 배드박스 2.0 봇넷의 핵심 운영자로 추정되는 개인들을 식별했습니다. 이 발견은 킴울프 봇넷 운영자들이 배드박스 2.0 제어판 스크린샷을 유출하면서 이루어졌습니다. 킴울프 봇넷은 별도의 악성 네트워크이지만, 동일하게 파괴적인 역할을 수행하고 있었습니다. 해당 스크린샷은 무단 접근 사실을 드러냈으며, 배드박스 2.0 관리자에 대한 중요한 세부 정보를 노출시켰습니다.

FBI구글은 현재 배드박스 2.0을 조사 중입니다. 이 봇넷은 소비자에게 전달되기 전에 안드로이드 TV 박스에 악성 소프트웨어를 사전 설치하며, 비공식 앱 마켓플레이스를 통해 확산되어 **광고 사기(advertising fraud)**와 가정용 네트워크에 대한 **백도어 접근(backdoor access)**을 가능하게 합니다.

기술적 분석: 배드박스 2.0의 작동 방식

배드박스 2.0은 2024년에 와해된 원래 배드박스 캠페인의 후속 버전입니다. 이전 버전은 주로 안드로이드 TV 박스를 대상으로 했지만, 배드박스 2.0은 그 범위를 확장하여 다음과 같은 방식으로 작동합니다:

  • 구매 전 기기 사전 감염: 악성 소프트웨어가 펌웨어에 내장되어 있어, 공장 초기화 후에도 지속됩니다.
  • 비공식 앱 스토어 악용: 사용자가 설치 과정에서 악성 앱을 무의식적으로 다운로드합니다.
  • 대규모 광고 사기 실행: 감염된 기기가 허위 광고 노출을 생성하여 광고주에게 수 백만 달러의 손실을 유발합니다.

200만 대 이상의 기기를 감염시킨 킴울프 봇넷은 최근 배드박스 2.0의 인프라를 장악하는 능력을 보여주었습니다. 킴울프 운영자들은 **"Dort"**와 **"Snow"**라는 별명으로 알려져 있으며, 배드박스 2.0 제어판에 자신의 이메일(ABCD)을 추가하여 봇넷의 명령 및 제어(C2) 시스템을 인수하거나 통합하려는 시도를 한 것으로 보입니다.

배드박스 2.0과 연계된 핵심 인물

배드박스 2.0 제어판 스크린샷의 포렌식 분석을 통해 7명의 인가된 사용자가 확인되었으며, 이 중 주요 인물은 다음과 같습니다:

  1. Chen Daihai(陈代海)

    • 이메일: 34557257@qq.com (별칭: Chen)
    • 관련 기업: 베이징 훙다커왕 과학기술 유한회사(北京宏达科网科技有限公司)모신 베이징 과학기술 유한회사(墨新北京科技有限公司)
    • 배드박스 2.0과 연계된 도메인: asmeisvip[.]net, moyix[.]com, vmud[.]net
    • 비밀번호 재사용(cdh76111)으로 cathead@gmail.comdaihaic@gmail.com과 연결됨

  2. Zhu Zhiyu(朱志宇)

    • 이메일: xavierzhu@qq.com (별칭: Mr.Zhu)
    • 관련 기업: **베이징 아스트로링크 무선 디지털 기술 유한회사(北京艾斯拓联无线数字科技有限公司)**의 공동 창립자
    • 도메인 등록 내역: astrolink[.]cn (배드박스 2.0과 연계된 도메인)

  3. Huang Guilin(桂林 黄)

    • 이메일: 189308024@qq.com (별칭: admin)
    • 관련 도메인: guilincloud[.]cn, 전화번호: 18681627767
    • 중국 소셜 미디어에서 h_guilin이라는 사용자명으로 활동 중

나머지 네 명의 사용자는 모두 qq.com 이메일 주소를 사용했으나, 명확한 기업 소속은 밝혀지지 않았으며 조사 요청에 응답하지 않았습니다.

영향 및 법적 파장

배드박스 2.0의 규모와 정교함은 다음과 같은 심각한 위험을 초래합니다:

  • 소비자 개인정보 보호: 감염된 기기는 Wi-Fi 자격 증명 및 브라우징 기록 등 개인 데이터를 유출할 수 있습니다.
  • 네트워크 보안: 감염된 기기는 가정용 또는 기업용 네트워크에 대한 추가 공격의 관문 역할을 합니다.
  • 금융 사기: 광고 사기 체계는 합법적인 광고주의 수익을 빼돌립니다.

2025년 7월, 구글은 25명의 미확인 피고인을 상대로 "존 도(John Doe)" 소송을 제기했으며, 이들이 배드박스 2.0을 운영하여 이익을 취했다고 주장했습니다. FBI는 2025년 6월 권고문에서 사전 감염된 기기에 대해 경고하며, 소비자들에게 비공식 안드로이드 TV 박스 사용을 자제할 것을 권고했습니다.

킴울프의 무단 접근: 판도를 바꾼 사건

킴울프 운영자들은 주거용 프록시 제공업체의 시스템 취약점이 패치된 후 배드박스 2.0의 인프라를 악용했습니다. 조사와 가까운 소식통에 따르면:

"Dort는 배드박스 제어판에 무단으로 접근했습니다. 배드박스는 프록시를 판매하지 않기 때문에 패치가 이루어지지 않았고, 이로 인해 킴울프가 배드박스 감염 기기에 직접 악성 소프트웨어를 로드할 수 있었습니다."

접근 방법은 아직 명확하지 않지만, ABCD 계정(Dort와 연계됨)은 조사관들이 배드박스 2.0 제어판 사용자들에게 침해 사실을 통보하면서 지속되지 않을 것으로 보입니다.

보안 팀을 위한 권고 사항

  1. 기기 감사: 네트워크에서 비공식 안드로이드 TV 박스를 식별하고 제거합니다.
  2. 펌웨어 검증: 기기가 공급업체 서명 펌웨어를 실행하는지 확인하여 사전 설치된 악성 소프트웨어를 방지합니다.
  3. 네트워크 세분화: IoT 기기를 격리하여 침해 시 네트워크 내 이동을 제한합니다.
  4. 위협 인텔리전스: 배드박스 2.0과 연계된 도메인 및 IP(예: asmeisvip[.]net, moyix[.]com)을 모니터링합니다.
  5. 사용자 교육: 비공식 앱 스토어 및 불법 스트리밍 서비스의 위험에 대해 직원과 소비자에게 경고합니다.

결론

Chen DaihaiZhu Zhiyu가 배드박스 2.0 운영자로 노출된 것은 안드로이드 기기를 대상으로 한 가장 큰 봇넷 중 하나를 해체하는 데 중요한 진전을 이룬 것입니다. 법적 조치와 기술적 완화가 진행 중이지만, 이 사건은 **공급망 공격(supply-chain attacks)**의 지속적인 위협과 IoT 기기 제조 및 유통에 대한 엄격한 감독의 필요성을 강조합니다.

공유

TwitterLinkedIn