취약점과 익스플로잇 정보 사들이는 업체, 보유하고 있는 iOS 농락법 너무 많아
최소 2~3개월 동안은 낮은 가격 유지할 듯 보여...지금은 안드로이드가 가격 더 높아

[보안뉴스 문가용 기자] 익스플로잇을 사들였다가 되파는 논란의 보안 업체 제로디움(Zerodium)이 특정 iOS 익스플로잇을 더 이상 구매하지 않겠다고 발표했다. 공급 과잉, 즉 이미 보유하고 있는 익스플로잇이 너무 많아서라고 한다. 게다가 공급이 많기 때문에 앞으로 익스플로잇 구매 가격도 떨어질 것이라고 덧붙이기도 했다.


제로디움의 공식 트위터에 따르면, 현재 보유한 것이 너무 많아 구매를 중단할 계획인 익스플로잇은 다음과 같다.
1) iOS 로컬 권한 상승 익스플로잇
2) 사파리 원격 코드 실행 익스플로잇
3) 샌드박스 탈출 익스플로잇
최소 2~3개월 동안은 구매 계획이 없다고 한다.

또한 보유량이 너무 많아 가격이 내려갈 계획인 익스플로잇은 피해자의 클릭을 한 번 필요로 하는 것으로, 특히 공격 지속성을 확보할 수 없는 익스플로잇들이다. 제로디움의 CEO인 샤우키 베크라(Chaouki Bekrar)는 “iOS 보안은 애플이 광고하는 것만큼 그리 대단하지 않다”며 “아이폰과 아이패드와 같은 장비에 침투한 후 지속적인 악성 행위를 하는 방법이 상당히 많다”고 트위터에 남기기도 했다. “iOS 14의 보안은 조금 나아졌으면 합니다.”

베크라는 보안 매체인 시큐리티위크와의 인터뷰를 통해 “안드로이드와 iOS를 겨냥한 익스플로잇의 수요는 항상 높아왔다”며 “기술적인 어려움 때문에 공급보다는 수요가 높은 게 최근 몇 년 간 지속되어 온 현상”이라고 말했다. 그러나 “최근 몇 개월 동안 공급이 급작스럽게 늘어났고, 이제는 수요를 앞지르는 상황”이라며 “가격을 낮출 수밖에 없게 됐다”고 설명하기도 했다.

그렇다면 왜 이렇게 iOS 침해 방법이 늘어난 것일까? 베크라는 “더 많은 전문가들이 iOS를 연구하기 시작했고, 탈옥을 도와주는 도구들이 점점 늘어나고 있었기 때문에, 어느 정도 예견된 현상”이라고 말한다. 안드로이드의 익스플로잇도 늘어나고 있을까? 베크라는 “예나 지금이나 비슷한 수준을 유지 중”이라고 말한다. 그것이 iOS 익스플로잇보다 많은지 적은지는 밝히지 않았다.

또한 제로디움은 웹사이트를 통해 “공격 지속성을 확보하면서 동시에 사용자의 개입이 전혀 필요치 않은 iOS 익스플로잇 방법을 제공할 경우 최고 200만 달러를 지급하겠다”고 새롭게 광고하기도 했다. 안드로이드에서 같은 효과를 제공하는 익스플로잇을 제출할 경우 250만 달러에 사들이겠다는 내용이 함께였다. 이 때문에 안드로이드를 뚫는 게 오히려 더 어려운 것 아니냐는 이야기가 나오고 있기도 하다.

애플은 버그바운티를 운영함에 있어 전통적으로 소극적인 모습을 보여 왔다. 금액도 낮았고, 프로그램 자체도 비공개로 진행됐었다. 그렇기 때문에 애플의 생태계를 연구하는 전문가가 많지 않았고, 익스플로잇 방법을 개발하더라도 제로디움과 같은 회사에 더 비싼 돈을 주고 파는 경우가 많았다. 이에 애플은 지난 해 블랙햇에서부터 버그바운티 상금을 올린다는 발표를 했고(최대 100만 달러) 상당한 호응을 얻어낸 바 있다.

그러나 같은 익스플로잇에 대한 값은 여전히 제로디움 쪽이 높이 쳐주고 있는 상황이다.

3줄 요약
1. 제로디움, iOS 익스플로잇이 너무 많아서 당분간 가격 내리고 구매 안 한다고 발표.
2. 그러면서 애플의 보안이 광고되는 것만큼 그렇게까지 강력한 것 아니라고 깎아내림.
3. 제로디움 웹사이트에 보면 안드로이드 익스플로잇이 iOS 익스플로잇보다 가격이 높기도 함.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>