보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

무관심과 욕심 속에 무럭무럭 자라나고 있는 보안 업계 내 회색 시장

입력 : 2022-12-01 15:09
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
멀웨어나 다름 없는 스파이웨어를 합법적으로 만들어 판매하는 회사들이 있다. 제로데이 취약점을 단독으로 보유하기 위해 큰 돈을 아끼지 않는 브로커들도 있다. 분명 불법 회사는 아니지만, 어쩐지 찜찜하다.

[보안뉴스 문가용 기자] 보안 산업 내에는 정상적인 업체로 분류하기도 어렵지만, 막상 불법 행위를 저지르는 것도 아닌 기업들이 있다. 스파이웨어를 개발하는 회사들과 제로데이 취약점을 비싼 값에 사들여 익스플로잇을 개발해 소수의 사법 기관 혹은 정부 기관에만 판매하는 회사들(혹은 브로커)이다. 비싸게 사들인 제로데이로 스파이웨어를 개발하기도 하는 등 두 가지 사업을 혼합하는 경우들도 적지 않다.

[이미지 = utoimage]


이런 영역에 몸 담고 있는 회사들의 움직임은 은밀하다. 아무래도 감시를 목적으로 한 소프트웨어를 거래하다 보니 파는 사람과 사는 사람 모두 거래 사실을 철저하게 비밀에 부치는 경우가 많다. 하지만 이 은밀한 시장이 꽤나 번창하고 있다는 증거들이 계속해서 나오는 중이다. 최근 시그널(Signal)이라는 메신저 앱의 제로데이를 놓고 경매가 벌어졌는데, 이 역시 이 회색 지대의 시장이 얼마나 풍족한지를 잘 보여주는 사례라고 할 수 있다.

제로데이 취약점을 비싼 값으로 매입하는 회사로서 가장 유명한 곳 중 하나는 미국의 제로디움(Zerodium)이다. 최근 제로디움은 시그널 앱의 제로데이 원격 코드 실행 취약점과 익스플로잇을 사겠다고 발표했다. 그러자 러시아의 회사인 옵제로(OpZero)가 나서서 자기들이 더 높은 값에 같은 취약점 및 익스플로잇을 구매하겠다고 했는데, 이들이 부른 값은 제로디움의 세 배인 150만 달러였다. 제로디움의 값도 결코 낮지 않았는데, 한 번에 세 배를 부른 자가 나타난 것이다. 

사이버 보안 전문가들은 옵제로가 이렇게 세게 나온 데에는 여러 가지 이유가 있겠지만 러시아-우크라이나 전쟁이 가장 주요할 것이라고 분석하고 있다. 단숨에 우크라이나를 제압할 것 같았던 러시아가 1년 가까이 승부를 결정 짓지 못할 뿐 아니라, 오히려 패배를 선언해야 할 것 같은 상황이 이어지자 마음이 급해져 우크라이나인들 사이에서 자주 사용되는 시그널을 해킹하려고 한 것이라는 해석이다. 이러한 추측이 맞다면 스파이웨어 시장은 사실상 각 나라 정부들이 키워주고 있다는 주장에 힘이 실리기도 한다.

화이트햇도 아니고 블랙햇도 아닌, 그레이햇
제로데이 익스플로잇 브로커나 스파이웨어 개발사들은 실제로 사업허가증을 내고 운영하는 진짜 회사인 경우도 있고, 국가 첩보 기관의 페이퍼컴퍼니인 경우도 있다. 그렇기 때문에 이 시장만의 불문율이 하나 있는데  “거짓말은 하지 않을 테니 아무 것도 묻지 마라”라고 한다. 또한 이 산업에 몸을 담그고 있는 자들은 대부분 블랙햇 해커나 화이트햇 해커나 동일하게 취급한다. 해킹의 목적에 구분을 딱히 두지 않는 것이다. 이도 저도 아닌 중간 지대에서 살아남으려니 생겨난 습성들이라고 할 수 있다.

올해 이러한 회색 지대 시장에 대한 보고서가 하나 발표됐는데, 이 문건에 의하면 브로커와 스파이웨어 개발사들은 판매자(제로데이 발견자)와 구매자(주로 정부 기관) 사이를 연결해주는 단 하나의 고리라고 한다. 판매자와 구매자가 직접 거래를 한다는 건 “거짓말을 하지 않을 테니 아무 것도 묻지 말라”는 시장 분위기 상 맞지 않기 때문에 절대적으로 필요하며, 따라서 시장 그 자체라고 보고서는 설명하고 있다. 게다가 구매자와 판매자 모두 거래 행위를 의심받을 때 부인하거나 책임을 전가해야 하는데, 이 때 중간에 있는 브로커/스파이웨어 개발사의 존재가 중요한 역할을 감당한다고 지적하기도 한다.

작년 여름, 여러 외신들이 연합해서 스파이웨어 개발사 NSO그룹(NSO Group)의 페가수스(Pegasus) 프로젝트를 고발한 적이 있다. NSO그룹의 주장과 달리 페가수스는 강력 범죄자나 테러리스트들을 체포하는 데 활용되는 게 아니라 기자, 정치가, 활동가 등을 감시하고 추적하는 데 가장 적극적으로 활용되고 있었다. 주로 권력을 가진 자가 반대 세력을 감시하고 억압하고 있었던 것이다. 이 때문에 이 회색 시장의 당위성에 대한 논란에 불이 붙었고, 결국 NSO그룹은 미국 정부의 제재 대상이 되기도 했다.

하지만 아직 제로데이 브로커들과 스파이웨어 개발사들을 ‘불법 단체’로 지정하려는 움직임은 어디에도 없다. 피지배층에 대한 지배층의 감시 욕구는 불변하는 것 중 하나이기 때문인 것으로 짐작된다. 또한 당사자들이 아니면 이 사안에 꾸준히 관심을 갖는 사람도 드물다. 회색 지대에 있는 이 시장은 이러한 오래된, 그러므로 쉽게 버릴 수 없는, 우리 안의 어두움에 뿌리를 내리고 있다고 볼 수도 있다.

3줄 요약
1. 제로데이 취약점을 비싼 값에 사들이는 브로커들과 스파이웨어 개발해 공급하는 개발사들.
2. 불법 조직은 아니지만 위험한 사업을 하는 건 분명함.
3. 논란이 되고는 있지만, 왜 이들을 불법 단체로 규정하려는 노력은 없을까.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)