• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

제로디움의 새로운 가격표로 가늠해보는 정보기관 관심사 2017.08.24

메신저 앱과 이메일 앱의 취약점 가격 올라가...공급과 수요의 원리
작년 애플 시스템 해킹에 관심 높아졌을 때, iOS 취약점 가격 세 배 올라

[보안뉴스 문가용 기자] 보안 시장이란 그 깊이와 너비가 어찌나 헤아릴 수 없을 정도로 광대한지 보통은 암시장에서나 거래되는 익스플로잇과 취약점을 합법적으로 팔고 사는 자들에게도 깃들만한 곳을 넉넉히 내어준다. 그 곳의 중심부 근처에는 제로디움(Zerodium)이나 해킹팀(Hacking Team)과 같은 업체가 굳건히 버티고 있다. 이중 제로디움은 최근 메신저 앱에 대한 관심이 높아진 듯 하다.

[이미지 = iclickart]


제로디움이 “메신저 앱에서 나온 제로데이 취약점 삽니다”라고 발표하며 제시한 가격은 5억원 정도다. 제로디움이 말하는 메신저 앱이란 왓츠앱, 시그널, 페이스북 메신저, 아이메시지, 텔레그램 등 나름 보안이 잘 되어 있다고 하는 애플리케이션들이다. 왜일까?

여기서 한 가지 생각해봐야 할 것은 이러한 ‘보안 메신저 앱’들 역시 논란의 대상이라는 것이다. 특히 사법기관과 프라이버시 옹호 단체 사이를 확실히 가르는 게 바로 이 보안 앱들이다. 가장 대표적인 사건이 작년에 FBI와 애플이 법정에서 테러범의 아이폰 잠금장치를 푸느냐 마느냐로 공방을 했던 것이다. 당시 그 사건은 FBI가 제3자의 도움을 받을 수 있게 되면서 법적으로 해결이 나지 않았다.

제로디움 역시 논란의 대상인 기업이다. 여러 소프트웨어에서 발견된 제로데이 취약점을 사들이고, 그걸 또 여러 정부 조직들에게 되판다. 이 과정에서 해당 소프트웨어 제조사에게는 전혀 알리거나 공개하지 않는다. 다른 보안 업체들처럼 해커들의 공격 현황이나 암시장 상태에 대한 보고서도 발표하지 않는다. 제로디움 덕분에 취약점을 미리 찾아 패치를 할 수 있었다는 흔한 보안 업계의 덕담 따위는 존재하지 않는다. 창립자인 슈키 베크라(Chaouki Bekrar)는 논란에 대해 초지일관 “민주주의 국가에만 판매하고 있으니” 걱정하지 말라는 답뿐이다.

이 두 가지 사실을 미루어 봤을 때 추리할 수 있는 건 암호화된 메신저 앱을 뚫고자 하는 “민주주의 국가”의 정부 기관 및 사법기관들이 많고, 이런 잠재 고객의 니즈를 파악한 제로디움이 물건을 확보하기 위해 적극적인 투자를 시작했다는 것이다. 베크라는 쓰레트포스트(ThreatPost)라는 보안 전문 매체와의 인터뷰를 통해 “정부 고객들이 범죄자들을 추적하는 데에 제로데이를 필요로 한다”고 말하기도 했다.

하지만 이것뿐만이 아니다. 오늘 제로디움이 공개한 새로운 가격 정책은 대부분 모바일 환경에 맞춰져 있다는 것도 눈여겨봐야 한다. 앱 메신저뿐만 아니라 모바일 기기의 디폴트 이메일 애플리케이션들에서 원격 코드 실행 혹은 로컬 권한 상승을 일으키는 제로데이 취약점을 찾아내면 역시 5억원에 구매하겠다고 제로디움은 밝히고 있다. 베이스밴드와 미디어 파일 혹은 문서 파일을 통한 원격 코드 실행 혹은 로컬 권한 상승 공격 취약점은 1억 5천만원, 샌드박스 탈출, 코드 서명 우회, 커널 로컬 권한 상승, 와이파이를 통한 원격 코드 실행 공격 및 로컬 권한 상승 취약점은 각 1억원의 가격이 책정됐다.

이는 시장의 규모가 작지 않다는 걸 나타낸다. 베크라는 “수요가 높으니 가격이 올라간다”고 말하며 “이번에 가격이 책정된 앱들의 경우 공격의 통로가 매우 협소해, 공격하기가 까다롭다는 특성도 있어 가격이 더 올라가기도 했다”고 설명했다.

그밖에 제로디움은 윈도우 10에서의 원격 코드 실행 제로데이 취약점에 대해서 3억원을 지급하겠다고도 발표했다. 아파치나 리눅스, MS IIS의 원격 코드 실행 제로데이 취약점의 경우는 1억 5천만원 정도의 가치가 매겨져 있다. MS 아웃룩의 원격 코드 실행 제로데이 취약점은 1억원, 모질라 썬더버드(Thunderbird)의 원격 코드 실행 취약점과 VM 웨어 ESXi 게스트를 호스트로 바꿔주는 취약점은 8천만원의 가격이 걸렸다.

크롬, PHP, 오픈SSL 취약점 경우는 기존보다 2배 정도 가격을 올렸고, 리눅스와 윈도우용 토르의 원격 코드 실행 취약점 역시 두세 배 올라갔다. 제로디움이 제시하는 시세를 “수요가 높으니 가격이 올라간다”는 베크라의 인터뷰 내용에 적용시키면, 최근 “민주주의 정부”의 기관들이 어떤 앱 혹은 소프트웨어에 관심을 가지고 있는지 알 수 있으며, 그 관심의 정도 또한 순서대로 정리할 수 있다.

1년 전 제로디움은 애플의 iOS 10의 취약점에 대한 가격을 세 배로 올린 전적도 있다. 1년 전이라면 애플과 FBI의 법정 공방으로 애플 시스템의 취약점에 대한 관심이 크게 올라간 때였다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>