과거 암암리에만 알려지고 이뤄져 왔던 보안 취약점에 대한 정보 거래가 이제는 양지로 나와 보안회사들의 수익원으로 부각되고 있다.
13일(현지시간) 뉴욕타임스(NYT)는 최근 새로운 수익사업으로 부상하고 있는 보안 취약점 거래의 현황에 대해 보도했다.
이에 따르면 지중해 지역의 몰타섬에서 두 명의 이탈리아 출신 해커들은 여러 나라 정부가 제공하는 수십만달러의 보상금을 받기위해 취약점을 찾아내고 있었다. 루이지 오리엠마㉜, 도나토 페랑트㉘는 외국 고객들에게 컴퓨터 시스템의 취약점을 발견한 뒤 이에 대한 상세정보를 판매한다. 이들이 속해있는 리불른이라는 보안회사는 특정 고객사를 밝히지는 않았으나 최근 도감청으로 논란이 된 미국 국가안보국(NSA) 등이 주요 고객사인 것으로 알려졌다. 여기에는 이란 혁명 전사와 같은 미국의 적을 타격하기 위한 사이버 무기에 해당한다.
남아프리카에서 한국에 이르기까지 제로데이 취약점 관련 사업이 발달하고 있다. 아직 패치가 발표되지 않은 프로그램 혹은 운영체제(OS) 등의 보안취약점을 거래하는 것이다. 마이크로소프트(MS) 윈도 OS에 대한 제로데이 취약점은 이를 사용하는 모든 사람들이 해킹될 수 있다는 점에서 위험성이 높다. 패치가 발표되기 전에는 어떤 경보도 받을 수 없기 때문이다.
이 두명의 해커는 수년 전부터 MS나 애플과 같은 회사에 대한 취약점 코딩 정보를 판매해 왔다. 지난달 MS는 이 같은 취약점에 대해 제보하는 해커에게 최대 15만달러(약 1억6천884만원)의 상금을 지급할 계획이라고 밝힌 바 있다.
이와 관련 하워드 슈미트 전 백악관 사이버 보안 조정관은 자국을 보호할 수 있는 최선책 중 하나로 다른 나라의 취약점을 찾아낼 필요가 있다고 말했다.
10년전만 해도 해커는 MS나 구글 등에 대한 취약점 정보를 무료로 알려주는 대신 해당 회사로부터 티셔츠를 받거나 이 회사의 사이트에 자신의 이름을 올리는 것으로 만족했다.
그러나 최근에는 보안취약점에 대한 시장이 새로운 수익사업으로 주목받고 있다. 전직 미국 중앙정보국(CIA) 소속이었던 에드워드 스노든이 폭로한 기밀자료에 따르면 미국 정보기관은 해당 취약점에 대한 구매자인 것은 분명하다.
NYT는 워싱턴 이스라엘, 영국, 러시아, 인도, 브라질 등이 가장 많이 취약점을 구매하고 있는 것으로 나타났으며, 말레이시아, 싱가포르를 포함해 북한도 여기에 포함된다고 전했다.
판매자인 해커와 구매자인 정부 기관, 기업들을 연결하는 브로커는 15%의 중개 수수료를 받는 것으로 알려졌다. 더구나 일부 해커의 경우 취약점이 대중에게 공개되지 않는 조건으로 월별 수수료를 따로 받기도 한다.
방콕에 거주하는 것으로 알려진 한 브로커는 이와 같은 내용에 대해 공개한 댓가로 수익에 타격을 입기도 했다고 NYT는 전했다. 고객들이 기밀성이 보장되지 않는다고 여겼기 때문이다.
현재 보안취약점 판매사업을 활발하게 벌이고 있는 보안회사는 리불른 외에도 프랑스 뷔펜, 미국 네트라가드, 엑소더스 인텔리전스 등이 있다. 이들은 요청에 따라 사이버 스파이 프로그램은 물론 사이버 무기 등에 대한 정보를 판매하고 있다고 광고하고 있다.
NYT에 따르면 아드리엘 드소텔 네트라가드 창업자는 지난 3년 동안 취약점에 대한 정보는 세 배로 늘었다며 일반적인 취약점은 3만5천달러에서 16만달러(약 4천만원~1억8천만원)에 거래되고 있다고 말했다.
관련기사
- MS, 윈도8.1 취약점에 상금 10만달러2013.07.15
- 美엔 있고 韓엔 없다? '보안취약점 포상'2013.07.15
- KISA, 신규 보안 취약점 신고 3배 늘어2013.07.15
- 해커들의 지하경제, '블랙마켓' 이야기2013.07.15
카오키 베크라 뷔펜 창업자는 유럽연합, 미국, 유엔 등이 금지하고 잇는 취약점은 판매하고 있지 않다며 그럼에도 불구하고 매년 수익이 두 배로 늘어나고 있다고 밝혔다. 이 회사는 매년 10만달러(약 1억원)의 구독료를 받고 취약점에 대한 카달로그를 고객들에게 제공하고 있다.
최근 들어 많은 IT회사들이 '버그 바운티'라는 프로그램을 실행하고 있다. 버그(취약점)를 발견한 해커에게 현상금(바운티)을 지급하는 것이다. 과거에 모질라가 파이어폭스 브라우저를 대상으로 첫 버그 바운티 프로그램을 수행한 이후로 구글, 페이스북, 페이팔 등이 모두 이 프로그램을 활용하고 있다.