‘아마 존(좋은) 딜일 거야’ 했다가 ‘(멀웨어만)어머 존득거려’

입력 : 2023-01-17 13:55

아마존에서 ‘핫 딜’이 등장해 주목을 받았다. 안드로이드 TV 박스가 저렴한 가격에 나온 건데, 한 보안 전문가가 직접 구입해 조사하니 악성 요소들이 계속해서 나왔다고 한다. 저렴한 장비들에 여러 멀웨어가 탑재되는 사례가 끊이질 않는다.

[보안뉴스 문가용 기자] 아마존 프라임(Amazon Prime) 멤버십에 가입되어 있는 고객이라면 3달러짜리 쿠폰과 단돈 40달러에 T95 안드로이드 10.0 TV 박스를 구매할 수 있다. 꽤 괜찮은 가격이라고 할 수 있다. 이에 보안 전문가 한 명이 얼른 구매 버튼을 누르고 언박싱을 진행했다. 그가 받아본 건 멀웨어가 가득 들어 있는 장비였다.


이 보안 전문가의 이름은 다니엘 밀리식(Daniel Milisic)이다. 그는 레딧과 깃허브 게시글을 통해 “최근 T95 안드로이드 10.0 TV 박스를 구매했다”며 “포장지를 뜯자마자 파이홀(Pi-hole)을 돌려 트래커 차단부터 실시했다”고 밝혔다. 그러자 놀라운 결과가 쏟아졌다. 참고로 파이홀은 인터넷 트래킹을 차단하는 애플리케이션의 이름이다.

“제일 놀랐던 건 제품의 보안이 안드로이드 10의 실험용 키로 서명되어 있었다는 겁니다. 심지어 ADB는 이더넷 포트를 통해 누구나 접속할 수 있는 상태였습니다. 저는 아무 것도 안 만졌고 제품이 배송된 상태 그대로 확인만 했을 뿐입니다.”

파이홀은 계속 돌아갔다. “파이홀 실행이 끝난 후 DNS1과 DNS2를 127.0.0.1로 조정했습니다. 여기에도 놀랄거리가 가득했습니다. 제품이 현재도 활발히 살아 있는 것으로 잘 알려진 주소들에 신호를 보내기 시작한 겁니다. 제가 찾아낸 건 트래픽을 모니터링 하는 멀웨어 하나, 안드로이드 모바일 멀웨어인 카피캣(CopyCat)과 비슷한 멀웨어 하나였습니다. 후자가 카피캣의 변종인지는 정확히 확인하지 못했습니다.”

심지어 장비 내 멀웨어들은 제거도 불가능했다. 밀리식은 여러 수단을 동원했지만 장비에서 멀웨어를 제거할 수 없었다고 밝혔다. “그래서 지금은 TV 박스를 사놓고 켜지도 못하고 있습니다. 지금도 코드는 뽑혀 있습니다.”

시중에 나온 하드웨어에 멀웨어가 설치된 채 유통되는 것들은 한두 개가 아니다. 과거 사례도 꽤나 많은 편이다. 소비자들이 반드시 알아두어야 할 문제이지만 잘 전파되지 않는다. 보안 업체 체크포인트(Check Point)의 경우 이미 2017년에 “통신사 하나가 안드로이드 장비를 판매하면서 애드웨어를 같이 배포하고 있다”는 내용의 보고서를 발표한 바 있다.

2018년 중국의 PC 제조사인 레노버는 집단 소송에 휘말리며 수백 만 달러에 달하는 벌금형을 선고받기도 했다. 레노버가 만들어 판매하고 있는 새 랩톱 제품들에서 애드웨어가 발견됐기 때문이다. 또 2022년 4월, 보안 업체 이셋(ESET)은 레노버 랩톱 제품의 펌웨어에서 취약점을 찾아 공개하기도 했다. 익스플로잇 할 경우 공격자들이 권한을 상승시켜 각종 멀웨어를 들키지 않고 심을 수 있게 해 주는 취약점이었다.

또 다른 보안 업체 멀웨어바이츠(Malwarebytes)는 2020년 7월 저소득층을 위해 미국 정부가 지원하는 안드로이드 모바일 장비에서 중국산 멀웨어가 심겨져 있으며, 삭제도 불가능하다는 내용을 고발하기도 했다.

이런 식의 고발이 가전 시장에서 꾸준히 나오고 있다는 건, 소비자들이 하드웨어를 구매해 사용할 때 한 번 더 주의해야 할 필요가 있다는 걸 시사한다. 스마트폰과 랩톱은 물론이고 TV 박스도 마찬가지다. 말리식은 “알리엑스프레스나 아마존에서 판매되는 저렴한 안드로이드 박스들을 값만 보고 사면 안 된다”고 강조했다. “특히 테스트 키로 서명된 제품들을 주의해야 합니다. 이런 제품들은 아무런 흔적 없이 당신의 정보를 훔쳐가거든요!”

3줄 요약
1. 아마존에서 저렴한 가격에서 판매되는 안드로이드 TV 박스, 악성 요소가 한 가득.
2. 저렴한 하드웨어에 멀웨어가 미리 깔린 채 판매되는 사례는 꾸준히 발굴되고 있음.
3. 저렴한 가격의 스마트 장비를 살 때는 보다 높은 주의력이 요구됨.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  북 해커 조직 APT43, 드롭박스 악용한 ...

• 2

  SW 공급망 보안 가이드라인 1.0 발표.....

• 3

  청년 목돈마련 돕는 홈페이지 사칭한 피싱 사...

• 4

  코드 서명 절차를 안전하게 유지시키기 위한 ...

• 5

  독일 사이버 보안시장, 역동적인 투자로 성장...

• 1

  [퀴즈 이·보·소] 거듭되는 취약점에 대표가...

• 2

  [보안 상장기업 주간 주가동향] 시장 기대치...

• 3

  메모리 안전 언어로 떠오르는 러스트의 라이브...

• 4

  주식투자 정보사이트 ‘아이투자’, 해킹으로 ...

• 5

  웰시투자그룹, 자사 사칭 금전 사기 피해 주...

• 1

  한국형 전투기 KF-21 자료 유출하려다 걸...

• 2

  국가정보원, 국정원장 사칭 이메일 유포 주의...

• 3

  에스원, 출력물보안 서비스로 인쇄 출력물 통...

• 4

  2023년 가장 주목받은 사이버 위협 커뮤니...

• 5

  NSA의 제로트러스트 가이드라인, CISO는...