그루지아 보안연구원, 인도서 발표 예정됐다가 군 입영으로 취소

[보안뉴스 호애진] 최근 화제가 된 구글 크롬 브라우저의 새로운 제로데이 취약점과 익스플로잇에 대한 소식이 새로운 전환점을 맞았다.

크롬 브라우저의 취약점을 발견한 19세의 그루지아 보안연구원이 군 입영통지서를 받아 오는 토요일로 예정된 인도 말콘(Malcon) 보안 컨퍼런스에서의 발표가 불가능하게 된 것이다.

컨퍼런스 조직위원장 라자세커 머시(Rajshekhar Murthy)는 우차 고베지쉬빌리(Ucha Gobejishvili)가 얼마 전 군 소집 명령을 받아 뉴델리로의 출국이 허용되지 않았다고 전했다.

지난 7월 고베지쉬빌리는 크롬 브라우저에서 자동 다운로드 기능과 관련된 한 DLL 파일에서 취약점을 발견했다고 밝혔다. 그에 따르면 이번 취약점을 이용해 모든 기기 상에서 원격 코드 실행이 가능하고, 보안 패치가 적용된 최신 버전의 크롬에서도 실행이 가능하다.

익스플로잇은 새로운 자바 제로데이 취약점을 이용한다. 그러나 고베쉬빌리는 구글에 자세한 정보를 제공하지 않았고, 취약점의 심각성 때문에 공격 코드를 발표하지 않을 것이라 밝힌 바 있다.

이에 대해 구글의 엔지니어 저스틴 슈(Justin Schuh)는 예전부터 고베쉬빌리가 여러 버그들을 보고해 왔지만, 이번에 언급한 고베쉬빌리의 주장은 믿음이 가지 않는다고 말했다.

사실, 구글에 취약점 정보를 제공하면 6만 달러의 보상금을 받을 수 있지만 고베쉬빌리는 그렇게 하지 않았다는 점에서 그의 주장에 대한 의심이 더해진 것.

올해 만해도 핑키 파이(Pinkie Pie)라는 이름의 한 해커가 구글에 취약점을 보고해 2번이나 보상금을 받은 바 있다.

최근 말레이시아에서 개최된 HITB(Hack in the Box) 컨퍼런스 중 구글이 후원한 Pwnium 경연대회에서 핑키 파이는 샌드박스를 우회하는 익스플로잇을 이용해 크롬을 해킹, 상금을 받았다. 또한, 지난 3월 캔셋웨스트(CanSecWest) 컨퍼런스에서 크롬의 3가지 취약점을 연계한 공격을 수행함으로써 연례 해킹대회인 Pwn2Own에서 승리를 거둔 바 있다.

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>