논란의 제로디움, 4만 5천 달러에 리눅스 제로데이 구매 시작

리눅스 버전들에서 취약점 사들인다 공고...가격은 최대 4만 5천 달러
현재는 모바일 iOS 제로데이 취약점이 최고가...고객에게 되팔아

[보안뉴스 문가용 기자] 제로데이 취약점을 구매하는 행위로 논란의 대상이 되고 있는 보안 업체 제로디움(Zerodium)이 리눅스 운영 체제에서 아직 패치가 되지 않은 취약점을 찾는다는 공고를 트위터에 올렸다. 가격은 최대 4만 5천 달러.

[이미지 = iclickart]

제로디움은 오래 전부터 리눅스 시스템에서의 취약점을 수집하고 있었다. 하지만 여태까지 제시한 최고 가격은 3만 달러로, 4만 5천 달러를 훨씬 밑도는 수준이다. 이 3만 달러는 로컬 권한 상승 공격을 할 수 있게 해주는 취약점이었다.

그렇다면 제로디움은 보다 심각한 취약점을 사들이고 있는 걸까? 제로디움은 트위터를 통해 “이전에는 3만 달러였던 취약점을 지금은 50% 인상된 가격에 구입하겠다”고도 밝혔다. 3만 달러에서 50% 인상된 가격은 정확히 4만 5천 달러로, 이전과 똑같은 수준의 취약점에 더 높은 가격이 책정됐을 뿐이라는 걸 알 수 있다.

제로디움은 또한 “지불은 1주일 안에 완료될 것”이라고 발표하기도 했다. 그 누구도 찾아내지 못했던 제로데이 취약점이라면 1차로 제출한 최초 보고서만으로도 “노력에 대한 보상을 받을 수 있을 것”이라고도 말했다.

리눅스 거의 모든 버전에 있는 취약점이면 되지만 제로디움이 원하는 취약점을 보다 정확히 알고 싶다면 제로디움 웹사이트를 통해 확인할 수 있다.

제로디움은 리눅스 시스템 외에, 윈도우 기반의 데스크톱 플랫폼에서도 제로데이 취약점, 원격 코드 실행 오류를 수집하고 있다. 이 부분에서 뭔가를 발견한 해커라면 제로디움으로부터 최대 30만 달러를 받을 수 있다. 애플의 모바일 iOS 플랫폼에서 발견된 제로데이 취약점이라면 최대 150만 달러까지 가격이 치솟는다.

또한 지난 8월, 제로디움은 인기가 높은 메시지 앱이나 이메일 앱의 제로데이 취약점을 50만 달러에 사들이겠다고 발표하기도 했다. 현재까지도 이 프로그램은 진행 중이다. 하지만 여태까지 제로디움이 누구에게 얼마를 지급했는지는 소문조차 돌지 않고 있다.

그 다음 달인 9월, 제로디움은 토르 브라우저에서의 제로데이 취약점을 구매한다는 발표를 했다. 최대 금액은 100만 달러였는데, 이 프로그램의 경우 12월에 이미 종료됐다. 역시 누가 취약점을 제보하긴 했는지, 그 취약점은 무엇이었으며, 상금은 얼마나 책정됐는지, 아무도 모르고 있다.

제로디움은 이렇게 제로데이 취약점을 사들인 후 고객들에게 이를 되팔아 수익을 거두고 있다. 물론 자신들에게 제출된 취약점 보고서를 그대로 고객들에게 파는 건 아니고, 자체적인 분석, 분류, 정리 및 상품화 과정이 진행된다고 제로디움은 주장한다. 또한 자신들의 정보를 튼튼한 보안 장치로 보호하고 있다고도 말한다.

실제로 아직 누구나 궁금해하는 제로디움의 사이버 창고를 들여다 본 전적이 없다. 제로디움은 이런 보안 노하우 역시 클라이언트에게 제공하는 것으로 알려져 있다.
[국제부 문가용 기자(globoan@boannews.com)]

SK텔레콤 해킹 사태로 최근 잇슈가 되고 있는 ‘BPF도어’ 관련, 어떤 솔루션을 사용중인가요?
	안랩 V3 Net for Linux
	소만사 Server-i
	파이오링크 점검 도구
	잉카인터넷 전용 백신
	트렌드 마이크로 백신
	기타 국산(솔루션명은 댓글로)
	기타 외산(솔루션명은 댓글로)
	사용하지 않는다