공식 국가 조달사업 웹 사이트에 여러 해킹 정보 문의한 해군

[보안뉴스 문가용] 미국 해군이 미국 정부가 운영하는 조달사업 웹 사이트인 Federal Business Opportunity에 올린 제안서가 물의를 빚고 있다. 미 해군 시스템 지원 사령부가 CMMI 레벨 3 인증을 가지고 있는 계약자를 찾는다는 내용에 더해 익스플로잇 생성이 가능한 자를 물색 중이라고 밝혔기 때문이다.

해군이 찾는 것은 다음과 같았다. “마이크로소프트, 어도비, 오라클 자바, EMC, 노벨, IBM, 안드로이드, 애플, 시스코, 링크시스, 리눅스 등 유명 소프트웨어를 비롯한 여타 상업용 소프트웨어의 취약점 첩보, 익스플로잇 보고서, 운영 익스플로잇 바이너리를 찾습니다.” 즉, 민간인들이 평소 많이 사용하는 소프트웨어의 취약점을 알려달라고 공모한 것이다. 그것도 정부가 운영하는 조달사업 웹 사이트에서 말이다.

해군 측은 해커들의 공격 루트를 파악하기 위해, 즉 방어를 위해 위와 같은 정보를 요구했다고 주장하고 있으며 아직 마이크로소프트, IBM, EMC, 어도비, 애플은 이에 대해 별 다른 언급을 하지 않고 있다.

정부, 특히 NSA가 제로데이 취약점 정보를 구입하는 사실은 미국 내에서 여전히 뜨거운 논란거리인데, 이는 정부가 제로데이 취약점을 어떻게 사용하는지 투명하게 밝힌 바가 없고 동시에 유명 기업들이 자발적으로 이런 취약점 정보를 정부에 제공했는지도 알 수가 없기 때문이다.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>