논란의 취약점 구매 업체, iOS와 각종 채팅 앱 익스플로잇 산다고 공지
기존보다 현상금이 2배 가까이 올라...“제한된 고객에게만 제공한다”는 입장

[보안뉴스 문가용 기자] 취약점과 익스플로잇을 사들이는 논란의 보안 회사 제로디움(Zerodium)이 현지 시각으로 월요일 여러 종류의 익스플로잇을 찾고 있다고 발표했다. 제시한 가격이 이전보다 상당히 높아 많은 이들의 관심을 끌고 있는데, 예를 들어 원격 iOS 탈옥 취약점에 2백만 달러, 인기 높은 채팅 앱들의 취약점들에 1백만 달러를 걸었다.


이번 공지에서 주목을 끈 건 지속적인 iOS 탈옥을 가능하게 해주는 익스플로잇으로, 제로디움은 이러한 기술을 제공하는 자에게 2백만 달러를 지급한다고 밝혔다. 이들이 찾고 있는 건 ‘원격 탈옥 기술’이면서 ‘사용자의 개입이 없어도’ 작동하는 것이다. 원래부터도 이런 익스플로잇을 찾고 있었으나, 제시한 가격이 150만 달러였다. 사용자가 클릭 한 번 등의 행동을 해야만 성립되는 익스플로잇이라면 200만 달러가 아니라 150만 달러가 지급된다.

그 외에 인기 높은 채팅 앱인 왓츠앱, 아이메시지 등에서 원격 코드 실행 취약점을 찾는다는 내용도 이번 공지에 포함되어 있었다. 이 경우 제로디움이 원하는 공격 방법을 제공하면 1백만 달러를 지급한다고 하는데, 이 역시 지난 번 공지에 비해 2배 오른 가격이다.

또한 제로디움은 안드로이드용 크롬에 대한 익스플로잇과 iOS용 사파리에 대한 익스플로잇을 구입한다고도 밝혔다. 가격은 1백만 달러인데, 익스플로잇은 반드시 원격 코드 실행, 권한 상승, 샌드박스 탈출이 모두 가능한 것이어야 한다.

안드로이드와 iOS 장비들에 구현되어 있는 PIN 시스템이나 터치ID(TouchID) 기술을 우회할 수 있는 방법 역시 10만 달러가 매겨져 있는 상황이다. 원래는 1만 5천 달러였다는 걸 생각해보면 굉장히 가격이 많이 뛴 것을 알 수 있다.

데스크톱과 서버 항목에서는 익스플로잇에 대한 최대 가격이 2배 올라갔다. 기존에는 50만 달러였던 것이 1백만 달러가 된 것이다. 이는 사용자의 개입 없이 SMB나 RDP 패킷을 통해 원격에서 코드가 실행되도록 하는 윈도우 익스플로잇 사슬에 대한 가격이다.

크롬, 아파치, 마이크로소프트 IIS 익스플로잇의 가격도 2배 올라 50만 달러가 되었다. 아웃룩, 마이크로소프트 익스체인지 서버, PHP, 오픈SSL의 원격 코드 실행 취약점들도 10만 달러에 구매를 시작했다.

제로디움은 최근 노스크립트(NoScript) 제로데이 익스플로잇을 공개했다. 임의의 자바스크립트 코드를 토르 브라우저에서 실행하게 해주는 것으로, 토르 브라우저 사용자가 보안 설정을 최고로 올려놓아도 소용이 없게 하는 것이었다. 제로디움의 CEO인 샤우키 베크라(Chaouki Bekrar)는 당시 “제로디움의 고객들이 이 익스플로잇을 사용해 범죄자들에 대항하고 있다”고 발표했었다.

제로디움은 “아무에게나 제로데이 취약점 및 익스플로잇들을 제공하고 있지 않다”는 입장을 계속 고수하고 있다. 매우 제한적인 정부 기관 및 기업들만이 제로디움과 거래가 가능하다고 그들은 주장한다. 하지만 제로디움의 이러한 사업 모델은 남용 가능성이 매우 커, 지속적인 논쟁의 대상이 되어 오고 있다.

3줄 요약
1. 익스플로잇 구매 업체 제로디움, 최근 가격 올려 익스플로잇 공개 모집 시작.
2. iOS에 대한 익스플로잇 가격이 제일 높고, 그 다음은 인기 높은 채팅 앱.
3. 제로디움은 “고객들이 범죄에 대항할 수 있게 해준다”는 입장 견지.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>