논란의 제로디움, 4만 5천 달러에 리눅스 제로데이 구매 시작

리눅스 버전들에서 취약점 사들인다 공고...가격은 최대 4만 5천 달러
현재는 모바일 iOS 제로데이 취약점이 최고가...고객에게 되팔아

[보안뉴스 문가용 기자] 제로데이 취약점을 구매하는 행위로 논란의 대상이 되고 있는 보안 업체 제로디움(Zerodium)이 리눅스 운영 체제에서 아직 패치가 되지 않은 취약점을 찾는다는 공고를 트위터에 올렸다. 가격은 최대 4만 5천 달러.

[이미지 = iclickart]

제로디움은 오래 전부터 리눅스 시스템에서의 취약점을 수집하고 있었다. 하지만 여태까지 제시한 최고 가격은 3만 달러로, 4만 5천 달러를 훨씬 밑도는 수준이다. 이 3만 달러는 로컬 권한 상승 공격을 할 수 있게 해주는 취약점이었다.

그렇다면 제로디움은 보다 심각한 취약점을 사들이고 있는 걸까? 제로디움은 트위터를 통해 “이전에는 3만 달러였던 취약점을 지금은 50% 인상된 가격에 구입하겠다”고도 밝혔다. 3만 달러에서 50% 인상된 가격은 정확히 4만 5천 달러로, 이전과 똑같은 수준의 취약점에 더 높은 가격이 책정됐을 뿐이라는 걸 알 수 있다.

제로디움은 또한 “지불은 1주일 안에 완료될 것”이라고 발표하기도 했다. 그 누구도 찾아내지 못했던 제로데이 취약점이라면 1차로 제출한 최초 보고서만으로도 “노력에 대한 보상을 받을 수 있을 것”이라고도 말했다.

리눅스 거의 모든 버전에 있는 취약점이면 되지만 제로디움이 원하는 취약점을 보다 정확히 알고 싶다면 제로디움 웹사이트를 통해 확인할 수 있다.

제로디움은 리눅스 시스템 외에, 윈도우 기반의 데스크톱 플랫폼에서도 제로데이 취약점, 원격 코드 실행 오류를 수집하고 있다. 이 부분에서 뭔가를 발견한 해커라면 제로디움으로부터 최대 30만 달러를 받을 수 있다. 애플의 모바일 iOS 플랫폼에서 발견된 제로데이 취약점이라면 최대 150만 달러까지 가격이 치솟는다.

또한 지난 8월, 제로디움은 인기가 높은 메시지 앱이나 이메일 앱의 제로데이 취약점을 50만 달러에 사들이겠다고 발표하기도 했다. 현재까지도 이 프로그램은 진행 중이다. 하지만 여태까지 제로디움이 누구에게 얼마를 지급했는지는 소문조차 돌지 않고 있다.

그 다음 달인 9월, 제로디움은 토르 브라우저에서의 제로데이 취약점을 구매한다는 발표를 했다. 최대 금액은 100만 달러였는데, 이 프로그램의 경우 12월에 이미 종료됐다. 역시 누가 취약점을 제보하긴 했는지, 그 취약점은 무엇이었으며, 상금은 얼마나 책정됐는지, 아무도 모르고 있다.

제로디움은 이렇게 제로데이 취약점을 사들인 후 고객들에게 이를 되팔아 수익을 거두고 있다. 물론 자신들에게 제출된 취약점 보고서를 그대로 고객들에게 파는 건 아니고, 자체적인 분석, 분류, 정리 및 상품화 과정이 진행된다고 제로디움은 주장한다. 또한 자신들의 정보를 튼튼한 보안 장치로 보호하고 있다고도 말한다.

실제로 아직 누구나 궁금해하는 제로디움의 사이버 창고를 들여다 본 전적이 없다. 제로디움은 이런 보안 노하우 역시 클라이언트에게 제공하는 것으로 알려져 있다.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)