논란의 보안 업체, “고객들이 원한다”며 가상 기계 취약점 사재기 시작
주로 정부 기관을 고객으로 둔 업체...“보안 강화 위한 움직임”이라 주장

[보안뉴스 문가용 기자] 익스플로잇을 사들이는 기업인 제로디움(Zerodium)이 이번 주 새로운 공고를 냈다. VM웨어 ESXi와 마이크로소프트의 하이퍼브이(Hyper-V)에서 발견된 취약점들을 사들인다는 내용으로, 최대 50만 달러까지 지불할 예정이라고 한다.


제로디움에 의하면 “ESXi(vSphere)와 하이퍼브이 내에서, 게스트에서 호스트로 탈출하게 해주는 취약점(guest-to-host escape)을 원한다”고 하며, 익스플로잇은 “디폴트 환경에서 작동해야 하며, 성공 확률이 어느 정도 보장되어야 하고, 공격자가 호스트에 대한 전체 접근 권한을 가져갈 수 있도록 해야 한다”고 설명했다.

현재까지 제로디움은 ESXi 가상 기계 탈출에 대한 보상금으로 20만 달러를 제공해왔다. 이 금액은 올해 초 10만 달러를 올려 만들어진 것이다.

제로디움의 CEO인 샤우키 베크라(Chaouki Bekrar)는 “VM웨어의 ESXi 익스플로잇에 대한 가격을 높인 것은 보다 많은 전문가들이 더 많은 연구를 통해 이 시스템을 단단히 만들었으면 하는 바람 때문”이라고 설명했다.

“우리는 이 하이퍼바이저 시스템에 아직도 많은 치명적 취약점들이 존재한다고 보고 있으며, 고객들 중에서도 이를 강력하게 원하는 곳들이 있다”고도 덧붙였다. 여기서 말하는 고객들이란 각 나라의 정부 기관들을 말한다.

재미있는 건 이번에 마이크로소프트의 하이퍼브이도 제로디움이 사들인다고 발표한 것이다. 현재까지 제로디움은 이 제품에 대한 취약점을 요구한 바가 없다. “고객들 사이에서 하이퍼브이에 대한 요구가 그리 높지 않은 편이었기 때문입니다. 하지만 최근 들어 하이퍼브이의 익스플로잇에 대한 수요가 높아지고 있는 상황입니다.”

마이크로소프트 역시 버그바운티 프로그램을 통해 하이퍼브이에서 취약점들을 찾고 있다. 다만 여기서 제공되는 가장 큰 상금은 25만 달러다. 같은 연구 결과라도 제로디움에 제출하면 돈을 더 많이 받을 가능성이 있다.

베크라는 “하이퍼브이와 ESXi에 대한 데로데이 취약점 가격(50만 달러)을 2개월 동안 유지할 생각”이라고 말한다. 2개월 동안 제출된 연구 결과의 수량과 질을 보고, 가격을 내릴지 그대로 유지할지 결정할 것이라고 한다.

제로디움은 수준이 높은 익스플로잇의 경우 최대 200만 달러까지 지급하고 있다. 이렇게 사들인 정보를 고객에게 되파는데, 제로디움인 이 고객들이 주로 정부 기관들이라는 것을 숨기지 않는다. “우리 고객들은 구체적인 필요를 충족시켜줄 수 있는 사이버 보안 기술 및 능력을 요구하고 있다”며 “(반드시 공격을 하기 위해서만이 아니라)스스로 제로데이 공격을 막기 위해서도 우리를 찾는다”고 설명한다.

올해 초 제로디움은 원격 iOS 탈옥 취약점에 대해 2백만 달러를 지급할 계획임을 발표한 바 있다. 그러면서 왓치앱, 아이메시지 등 인기가 높은 메신저 앱에서 발견된 취약점들에도 최대 1백만 달러의 상금을 걸었다.

3줄 요약
1. 취약점 익스플로잇 정보 사들이는 제로디움, 이번엔 VM웨어와 MS 제품에 상금 걺.
2. 안정적인 확률로 게스트에서 호스트로 탈출하게 해주는 익스플로잇에 50만 달러 제공할 계획.
3. MS 하이퍼브이 제품의 익스플로잇, 수요 적었으나 요즘 늘어나고 있음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>