다크웹도 나름 시장이다. 수요가 있고 공급이 있다. 인기 높은 상품이 있고 아닌 상품이 있다. 비싼 상품이 있는가 하면, 스테디셀러도 존재한다. 현재 열리고 있는 RSA 컨퍼런스에서 이러한 다크웹 시장의 이모 저모가 발표됐다.

[보안뉴스 문가용 기자] CVE는 보안 전문가들의 보안 취약점 관리를 위한 일련 번호이기도 하지만, 사이버 공격자들이 다크웹에서 익스플로잇을 거래할 때 언급되는 참조 번호가 되기도 한다. 그리고 이런 범죄자들의 47%가 마이크로소프트 제품과 관련된 제품의 CVE에 대해 문의한다고 보안 업체 트렌드 마이크로(Trend Micro)의 연구원인 마이라 로사리오(Mayra Rosario)가 RSA 컨퍼런스에서 발표했다.


로사리오는 600개가 넘는 영어 및 러시아어권 다크웹 포럼을 조사해 위와 같은 결론을 얻어냈다고 한다. “어떤 익스플로잇이 가장 많이 요청되고 또 공급되는지 밝혀내기 위해 시작된 작업”이었다고 로사이로는 설명했다. “2019년 1월부터 2020년 12월까지 다크웹에 게시된 각종 광고와 홍보물들을 관찰했습니다. 그 결과 MS의 소프트웨어와 관련된 광고 및 홍보물이 전체의 47%를 차지하고 있다는 걸 알 수 있었습니다. 인식과 달리 IoT 제품의 익스플로잇과 관련된 CVE는 5% 정도만 차지하고 있었습니다.”

또한 사이버 범죄자들이 요구하는 익스플로잇 중 절반 이상인 52%가 발견된 지 2년이 되지 않은 것들이었다. 익스플로잇을 요구하는 자들은 누군가 실제로 해당 익스플로잇을 개발했을 때 평균 2천 달러까지 지불할 의향이 있는 것으로 나타났는데, MS 제품의 제로데이 익스플로잇에 대해서는 최대 10만 달러까지 지불하기도 했다.

로사리오는 발표를 진행하면서 MS 그래픽스(Microsoft Graphics)라는 요소에서 발견된 원격 코드 실행 취약점인 CVE-2019-1151을 예로 들기도 했다. 이 취약점에 대한 익스플로잇은 상당히 많은 범죄자들이 요구했다고 한다. 그 외에 아파치 웹 서버(Apache Web Server)에서의 원격 코드 실행 취약점을 익스플로잇 하는 걸 돕는 자에게 2천 달러를 주겠다는 게시글도 발견한 적이 있었다고 또 다른 예를 들었다.

익스플로잇 관련 광고 게시글들을 분석했을 때 역시 MS 제품을 노리는 익스플로잇이 가장 많은 것(61%)으로 밝혀졌다. 이 중 MS 오피스와 관련된 익스플로잇 광고가 가장 많은 31%를 차지했다. 2위는 윈도로 15%, 3위는 인터넷 익스플로러로 10%, 그 다음은 RDP로 5%를 점유하고 있는 것으로 조사됐다. 특별히 영어권 포럼에서는 오피스와 어도비 제품들이 가장 인기가 높은 것으로 나타나기도 했다.

중요한 건 “시장이 해커들의 소원을 잘 충족시키고 있는 것으로 나타났다는 것”이라고 한다. 즉 수요와 공급의 균형이 잘 맞춰지고 있었다는 것이다. “해커들이 원하는 것을 충분히 들어본 다음에 취약점 연구가 이뤄지는 것으로 보입니다.” 효율성을 극도로 추구하는 해커들의 습성이 드러나는 부분이다. 참고로 수요와 공급 양쪽 모두에서 가장 높은 비율을 차지하고 있는 건 마이크로소프트 워드와 엑셀이었다고 한다.

로사리오는 다크웹을 조사하며 취약점 익스플로잇의 생애주기도 알아낼 수 있었다고 한다. “한 해커가 취약점을 연구하고 익스플로잇을 개발하고 시장에 내놓습니다. 그것이 인기를 끌면 많은 공격자들이 이를 사가면서 해당 익스플로잇 행위가 빈번해지기 시작합니다. 해커들 사이에서는 유행이라는 것이 빠르게 형성되기도 합니다. 빈번해지면 보안 업계의 눈에 띄기 시작하고, 결국 패치가 이뤄집니다. 이 시점에서 다크웹 시장에서조차 완전히 사라지는 익스플로잇이 있는가 하면 계속해서 판매되는 경우도 많습니다.”

판매상의 유형도 다양한 것으로 나타났다. “5년이 넘는 경력을 가진 숙련된 다크웹 판매상의 경우는 제로데이나 원데이 익스플로잇을 꾸준히 보유하고 있었고, 하나에 최소 10만 달러에서 많게는 50만 달러에까지 판매하는 것으로 조사됐습니다. 양지에서 업체들이 진행하는 버그바운티 프로그램들이 너무 처리 시간이 오래 걸리고 상금 수준이 낮다고 불평하는 목소리를 내는 상인들도 많았습니다. 결국 기존 버그바운티에 만족 못하는 사람들이 다크웹으로 꽤나 흘러들어온다는 것을 알 수 있었습니다.”

심지어 버그바운티를 통해 상금을 받은 후, 어느 정도 시간이 지나간 후에 이를 다크웹에 판매하는 경우도 심심찮게 발견할 수 있었다고 한다. “다른 사람의 버그바운티 연구 성과를 제 것처럼 판매하는 상인들도 있었습니다.” 익스플로잇 자체가 아니라 익스플로잇 개발 도구를 판매하거나 구독 서비스를 제공하는 상인들도 있는데, 구독료는 한 달 60달러, 석 달 120달러, 반 년에 200달러 꼴로 형성되어 있었다고 한다.

제로데이가 높은 가격대에 거래되는 것은 분명하지만, 그렇다고 시장의 모든 상인들이 제로데이에 목을 매는 건 아니었다. 다크웹 시장에서 거래되는 익스플로잇의 대부분은 오래된 시스템의 오래된 취약점을 노리는 것들이었다. “소비자들이 요구하는 익스플로잇의 48%가 3년이 넘은 오래된 취약점에 대한 것이었습니다. 심지어 1999년에 발견된 취약점이 아직도 거래되기도 합니다.”

오래된 취약점들 중 인기가 높은 건 레드햇(Red Hat)의 CVE-2014-0133, 퀄컴의 CVE-2015-6639, MS 오피스의 CVE-2017-11882와 CVE-2012-0158, 리눅스 커널의 CVE-2016-5195인 것으로 집계됐다. “가치가 높은 취약점들의 수명이 우리가 예상했던 것보다 훨씬 길다는 게 이번 연구로 입증됐습니다. 즉 새로 나온 취약점만이 아니라 오래된 취약점을 해결하는 것도 똑같이 중요하다는 것이죠.”

3줄 요약
1. 다크웹에서 거래되는 취약점 조사했더니 절반 가까이가 MS의 솔루션들과 관련 있음.
2. 제로데이 익스플로잇이 비싸게 거래되지만, 시장 점유율이 높은 건 오래된 취약점들.
3. 상인들 중에는 버그바운티 연구원들도 다수 섞여 있는 것으로 보임.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>