2025 제12호-[미국] 안드로이드 기기 봇넷(botnet)에 대한 예비적 금지명령과 저작권 관련 시사점(류시원)

저작권 동향

2025년 제12호

미국

• 안드로이드 기기 봇넷(botnet)에 대한 예비적 금지명령과 저작권 관련 시사점

1. 개요

• 1) 들어가며
  인터넷상에 게시되어 있는 콘텐츠의 다수는 저작물에 해당하거나 저작권법상 데이터베이스제작자 권리로 보호될 수 있다. 개인적인 연구 목적의 소규모 복제가 아닌 영리 목적의 대량 복제 및 이를 다시 유포하는 행위는 공정이용(fair use)에 해당하지 않을 가능성이 있고, 따라서 대규모 웹스크래핑에 관해서는 저작권법상의 위험을 고려해야 한다. 대규모의 인터넷 콘텐츠 복제·유포는 봇넷(botnet)에 의해 악성코드가 설치된 다수의 기기에서 수행될 수도 있는데, 그 경우 감염 사실을 인지하지 못하는 개개의 이용자들을 대상으로 저작권법상의 구제 수단을 활용하는 것은 실효성이 떨어질 수 있다. 최근 안드로이드 기기용 봇넷 운영자들에 대해 구글이 취한 법적 조치는 위와 같은 사안에서 용 가능한 다른 법적 수단에 관한 시사점을 발견할 수 있어 간략히 소개한다.
• 2) 사건의 개요
  구글이 ‘BadBox 2.0’이라는 봇넷(botnet) 운영자들을 상대로 제기한 소송에서 2025년 6월 27일 미국 뉴욕 남부 연방지방법원은 피고들에게 예비적 금지명령을 내렸다. 본 결정은 지금까지 발견된 것 중에서 전 세계적으로 가장 규모가 큰 봇넷에 대하여 구글이 취한 법적 조치에서 나온 것이다. 법원은 예비적 금지명령의 원인으로 컴퓨터사기·남용방지법(Computer Fraud and Abuse Act, ‘CFAA’) 위반과 조직범죄방지법(Racketeer Influenced and Corrupt Organizations Act, ‘RICO법’) 위반을 인정했다.
• 3) BadBox 2.0
  구글은 사이버보안 파트너사와의 공조를 통해 2022년 말경 안드로이드 기반 기기들에서 ‘BadBox’라는 봇넷을 탐지했다. 이 봇넷은 휴대폰, 태블릿, 커넥티드TV(CTV)를 비롯한 7만 4천 대 이상의 안드로이드 기기에 설치되어 광고 사기 등 다양한 불법적 활동에 쓰인 것으로 확인되었다. ‘BadBox’에 관한 사실이 공개되자, ‘BadBox’와 연동된 명령·제어 서버(connected-and-control server, ‘C2 서버’) 운영이 중단되었고, 2024년 12월 독일 정부에 의해 운영 인프라의 상당 부분이 해체되었다. 본 사건에서 문제가 된 ‘'BadBox 2.0’’은 ‘BadBox’를 대대적으로 확장한 것으로, 2025년 3월경 구글의 파트너사인 HUMAN에 의해 보고되었다. 스마트TV 박스, 디지털 프로젝터, 차량 인포테인먼트 장치, 디지털 액자, 그밖의 IoT 기기를 타겟으로 하고, 주된 타겟은 CTV(Connected TV) 기기였다. 'BadBox 2.0’은 지금까지 발견된 것 중 CTV 감염을 목적으로 하는 가장 큰 규모의 봇넷이다. HUMAN은 당초 100만 대 이상의 기기가 감염된 것으로 보고했으나, 구글의 소송에서 감염된 기기 수가 1,000만 대 이상임이 드러났다).
  HUMAN의 보고에 의하면, 'BadBox 2.0’에 감염된 기기들은 중국에서 제조되어 전 세계에 수출된 CTV 등의 기기로, 안드로이드 TV OS 기기 또는 구글 플레이 프로텍트 인증 기기가 아닌 안드로이드 오픈소스 프로젝트(AOSP) 기기였다. 'BadBox 2.0’은 백도어를 포함한 악성코드가 AOSP 기기의 제조사, 리셀러, 소매점, 창고로 이어지는 유통 단계의 어느 시점에 설치되어, 해당 기기가 인터넷에 연결되면 C2 서버와 통신하면서 봇넷의 일부로 작동해 사기, 공격 등에 이용될 수 있는 광범위한 범죄조직망이다.
  감염된 기기들이 범죄에 활용되는 방식은 다음과 같다. 이러한 활동들은 C2 서버를 통해 전 세계에 광범위하게 분포한 기기들을 통해 수행된다.
  - 광고 사기: 내장 콘텐츠 앱을 사용해 숨겨진 광고를 렌더링하거나, 게임 사이트들로 이동하는 숨겨진 브라우저 창을 실행하는 등의 방법
  - 클릭 사기: 감염된 기기를 저품질 도메인으로 이동하고 페이지에 있는 광고를 클릭함
  - 주거용 프록시 서비스: 기기 사용자의 허가 없이 IP 주소에 대한 액세스 권한을 판매하여, 계정 탈취(ATO), 가짜 계정 생성, DDoS 공격, 맬웨어 배포, OTP 도용 등을 수행할 수 있게 함

2. 주요내용

• 1) 경과
  'BadBox 2.0’을 발견한 HUMAN 측은 구글 플레이와 같은 공식 마켓플레이스를 통해서만 앱을 다운로드하고, ‘오프브랜드’기기 를 피할 것을 권고했다. 구글은 ‘BadBox’ 관련 앱들이 자동적으로 차단되도록 구글 플레이 프로텍트를 업데이트하는 등의 조치를 취하는 한편, 'BadBox 2.0’ 운영자들의 활동을 중단시키기 위한 소송을 뉴욕 남부 연방지방법원에 제기했다. FBI도 2025년 6월 5일, 'BadBox 2.0’에 감염된 기기들의 증상을 설명하고 대처 방법을 설명하는 경고를 발령했다.
  법원은 2025년 5월 30일, 'BadBox 2.0’의 운영자들에게 임시제한명령(temporary restraining order)을 내렸다. 이어 임시제한명령 기간 만료일인 6월 27일, 법원은 예비적 금지명령(preliminary injunction)을 내렸다. 대부분의 소송기록은 비공개 상태이고 예비적 금지명령만 공개되었다. 이하 그 내용을 간략히 소개한다.
• 2) 예비적 금지명령
  법원은 예비적 금지명령의 요건인 (1) 회복할 수 없는 손해, (2) 승소 가능성, (3) 이익 형량, (4) 공익적 기여가 모두 충족되었다고 보고, 원고 구글의 신청을 인용했다. ‘회복할 수 없는 손해’에 관해서는, 감염된 기기들을 구글 광고 네트워크 등을 통한 광고 사기 및 기타 다양한 사이버범죄에 이용하고, 랜섬웨어나 DDoS 공격 등 추가적인 범죄 활동에 악용할 가능성, 구글의 명성 및 재정에 손실을 가져온다는 점 등을 근거로 이를 인정했고, 피고들이 금전배상을 이행하지 않을 가능성에 관해 원고가 소명했다는 점도 아울러 고려하였다. ‘승소 가능성’에 관해서는 신청 원인인 CFAA 위반과 RICO법 위반을 인정하였다. ‘이익 형량’에 관해서는 'BadBox 2.0’의 규모 및 성능의 증대, 범죄 활동을 위한 피고들의 맬웨어 배포와 감염된 기기들의 조작 등을 허용할 적법한 사유가 없다는 점을 적시하였다. 마지막으로 ‘공익적 기여’에 관해서는 악질적인 사이버공격과 사이버범죄의 방지가 공익과 강하게 결부되어 있다는 점을 언급했다.
  이러한 판단에 따라 법원은 구글이 신청한 예비적 금지명령을 발령하면서 그 대상을 전 세계로 정하였고, 실효성 확보를 위해 구글에게는 동 금지명령을 별지 A 목록 기재 서버들('BadBox 2.0’에 감염된 기기들에 연결되는 C2 서버들)에게 서비스를 제공하는 호스팅 업체 또는 도메인 서비스 업체에 송달하고 트래픽 차단 등을 요청할 것을 명하였고, 모든 영장법(All Writs Act)에 따라 별지 A 목록 기재 서버들의 도메인 등록기관들에 대해서도 구글의 도메인 관리, 이전 등에 협조할 것을 명하였다.

3. 결론 및 시사점

• 'BadBox 2.0’은 정식 안드로이드 OS가 아닌 구글의 안드로이드 오픈소스 프로젝트(AOSP)를 기반으로 한다. 오픈소스 시스템은 소스코드가 공개되지만, 신속한 보안 취약점 발견과 패치/업데이트, 맬웨어 탐지 도구 개발/배포 등이 가능해 폐쇄형 시스템에 비해 보안에 있어 반드시 더 취약하다고 할 수 없다는 것이 일반적인 평가이다. 그러나 본 사건은 기기 사용자가 쉽게 제거할 수 없도록 다수 기기의 ROM에 변형된 펌웨어를 설치하고 맬웨어가 포함된 앱을 추가 설치하는 등의 방법으로 오픈소스 프로젝트가 악용될 경우의 위험성을 보여주었다.
  본 사건은 웹스크레이핑 등 저작권법과도 연관된 사안에서 적용되어 온 CFAA에 따른 예비적 금지명령이라는 점에서 의미가 있으며, 조직적 범죄행위로 평가되는 경우 RICO법의 적용 가능성을 보여주었다는 점도 참고가 된다.

참고자료

• - https://www.humansecurity.com/learn/blog/trojans-all-the-way-down-badbox-and-peachpit/
• - https://www.humansecurity.com/learn/blog/badbox-2-0-the-sequel-no-one-wanted/
• - https://www.humansecurity.com/learn/blog/satori-threat-intelligence-disruption-badbox-2-0/
• - https://blog.google/technology/safety-security/google-taking-legal-action-against-the-badbox-20-botnet/
• - https://www.ic3.gov/PSA/2025/PSA250605
• - https://torrentfreak.com/google-sues-operators-of-a-10-million-device-android-set-top-box-botnet-250721/