요약 : 보안 블로그 시큐리티어페어즈에 의하면 제로데이 취약점 브로커인 크라우드펜스(Crowdfence)가 제로데이 취약점에 최대 3천만 달러를 지불하겠다고 발표했다고 한다. 기업용 소프트웨어, 와이파이, 각종 메신저 프로그램 등에서 발견되는 제로데이 취약점이면 최대 금액을 받을 확률이 더 높다고도 밝혔다. 크라우드펜스는 이미 iOS와 안드로이드의 제로데이에도 적잖은 금액을 내걸고 있다. 아이폰 제로데이는 500만~700만 달러에 사들이고, 안드로이드의 경우 최대 500만 달러, 크롬과 사파리 브라우저는 최대 300만 달러다.


배경 : 제로데이 취약점을 매입하는 업체들은 논란의 대상이다. 통상 취약점을 발견하면, 그 발견된 곳의 본 제조사나 개발사에 먼저 연락해 취약점을 해결하도록 하는 것이 업계 내 암묵적인 규율이다. 하지만 제로데이 취약점 브로커는 중간에 끼어들어 취약점 정보를 구매한 뒤 그것을 다른 주체들에게 판매한다. 보통은 스파이웨어 개발사들이 사가고, 스파이웨어 개발사들은 이런 취약점들을 익스플로잇 하는 방법을 고안해 정부 기관 등 ‘감시와 추적’을 필요로 하는 이들에게 비밀리에 판매한다.

말말말 : “제로데이 브로커들이 돈을 많이 주기 시작하면 버그바운티가 무용지물이 됩니다. 취약점 발굴에 정당한 대가를 지불함으로써 해킹 기술을 가진 사람들이 범죄에 빠지지 않게 하는 게 버그바운티인데, 이런 버그바운티보다 높은 금액을 준다면 이런 제도에 관심을 두지 않기 때문입니다.” -시큐리티어페어즈-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>