세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
논란의 제로디움, 4만 5천 달러에 리눅스 제로데이 구매 시작
  |  입력 : 2018-02-12 15:40
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
리눅스 버전들에서 취약점 사들인다 공고...가격은 최대 4만 5천 달러
현재는 모바일 iOS 제로데이 취약점이 최고가...고객에게 되팔아


[보안뉴스 문가용 기자] 제로데이 취약점을 구매하는 행위로 논란의 대상이 되고 있는 보안 업체 제로디움(Zerodium)이 리눅스 운영 체제에서 아직 패치가 되지 않은 취약점을 찾는다는 공고를 트위터에 올렸다. 가격은 최대 4만 5천 달러.

[이미지 = iclickart]


제로디움은 오래 전부터 리눅스 시스템에서의 취약점을 수집하고 있었다. 하지만 여태까지 제시한 최고 가격은 3만 달러로, 4만 5천 달러를 훨씬 밑도는 수준이다. 이 3만 달러는 로컬 권한 상승 공격을 할 수 있게 해주는 취약점이었다.

그렇다면 제로디움은 보다 심각한 취약점을 사들이고 있는 걸까? 제로디움은 트위터를 통해 “이전에는 3만 달러였던 취약점을 지금은 50% 인상된 가격에 구입하겠다”고도 밝혔다. 3만 달러에서 50% 인상된 가격은 정확히 4만 5천 달러로, 이전과 똑같은 수준의 취약점에 더 높은 가격이 책정됐을 뿐이라는 걸 알 수 있다.

제로디움은 또한 “지불은 1주일 안에 완료될 것”이라고 발표하기도 했다. 그 누구도 찾아내지 못했던 제로데이 취약점이라면 1차로 제출한 최초 보고서만으로도 “노력에 대한 보상을 받을 수 있을 것”이라고도 말했다.

리눅스 거의 모든 버전에 있는 취약점이면 되지만 제로디움이 원하는 취약점을 보다 정확히 알고 싶다면 제로디움 웹사이트를 통해 확인할 수 있다.

제로디움은 리눅스 시스템 외에, 윈도우 기반의 데스크톱 플랫폼에서도 제로데이 취약점, 원격 코드 실행 오류를 수집하고 있다. 이 부분에서 뭔가를 발견한 해커라면 제로디움으로부터 최대 30만 달러를 받을 수 있다. 애플의 모바일 iOS 플랫폼에서 발견된 제로데이 취약점이라면 최대 150만 달러까지 가격이 치솟는다.

또한 지난 8월, 제로디움은 인기가 높은 메시지 앱이나 이메일 앱의 제로데이 취약점을 50만 달러에 사들이겠다고 발표하기도 했다. 현재까지도 이 프로그램은 진행 중이다. 하지만 여태까지 제로디움이 누구에게 얼마를 지급했는지는 소문조차 돌지 않고 있다.

그 다음 달인 9월, 제로디움은 토르 브라우저에서의 제로데이 취약점을 구매한다는 발표를 했다. 최대 금액은 100만 달러였는데, 이 프로그램의 경우 12월에 이미 종료됐다. 역시 누가 취약점을 제보하긴 했는지, 그 취약점은 무엇이었으며, 상금은 얼마나 책정됐는지, 아무도 모르고 있다.

제로디움은 이렇게 제로데이 취약점을 사들인 후 고객들에게 이를 되팔아 수익을 거두고 있다. 물론 자신들에게 제출된 취약점 보고서를 그대로 고객들에게 파는 건 아니고, 자체적인 분석, 분류, 정리 및 상품화 과정이 진행된다고 제로디움은 주장한다. 또한 자신들의 정보를 튼튼한 보안 장치로 보호하고 있다고도 말한다.

실제로 아직 누구나 궁금해하는 제로디움의 사이버 창고를 들여다 본 전적이 없다. 제로디움은 이런 보안 노하우 역시 클라이언트에게 제공하는 것으로 알려져 있다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
SPONSORED
비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
4차 산업혁명의 본격적인 출발점이 되는 2018년, ICBM+AI로 대변되는 4차 산업혁명의 기반 기술 가운데 보안 이슈와 함께 가장 많이 언급될 키워드는 무엇일까요?
사물인터넷(IoT)
클라우드(Cloud)
빅데이터(Bigdata)
모바일(Mobile)
인공지능(AI)
기타(댓글로)