"안드로이드·iOS 버그가 100억"....은밀한 제로데이 취약점 거래

등록 2022.09.03 10:10:00수정 2022.09.03 15:39:50

최근 온라인서 스마트폰 제로데이 취약점 견적서 유출

제로데이 취약점 노리는 세계 정보기관·랜섬웨어 범죄조직

상대방 몰래 도·감청 가능해 각국 정보기관 확보 경쟁

전문가 “각국 수요 있는 한 제로데이 거래 사라지지 않을 것”

최근 800만 달러(한화 106억원) 규모의 제로데이 취약점 견적서가 유출돼 보안업계의 눈길을 끌고 있다. (사진=뉴시스 그래픽)

[서울=뉴시스]송종호 기자 = # “구글 안드로이드, 애플 아이폰 OS(운영체제) 보안 취약점 팝니다.”

최근 다크웹(Dark Web)에 유출된 이스라엘 정보분석 업체의 내부 견적서다. 이 견적서에는 안드로이드12와 iOS 15.41 버전의 제로데이 취약점(알려지지 않은 취약점)을 몰래 제공하는데, 취약점 보증기간을 1년으로 제시했다. 구매자에게 1년간 안드로이드폰이나 아이폰을 자유롭게 해킹할 수 있도록 보증하겠다는 얘기다. 놀라운 건 공개된 거래 가격이다. 무려 800만 유로(약 106억원)에 달한다.

과연 이같은 거금을 주고 사갈 수 있는 사람이 대체 누굴까. 대규모 랜섬웨어 조직일 수도 있지만 상당수는 각국의 스파이 기관들일 것이라는 추정이 나온다. 보안 전문가들은 다크웹에 유출된 이번 견적서를 두고 버그(취약점) 분석 전문기업과 정보기관들이 통상적으로 해오던 은밀한 뒷거래의 단면을 보여주는 사례라고 입을 모은다.

"안드로이드·iOS 버그 1년 유지해줍니다"…그들만의 은밀한 뒷거래

제로데이 취약점은 제조사나 개발자가 알아차리기 전에 찾아낸 보안 취약점을 말한다. 쉽게 해커들이 몰래 시스템에 침투할 수 있는 ‘통로’다. 보안 패치가 나오기 전까지 이를 악용해 해킹 시도를 할 경우 이용자들은 속수무책으로 당할 수 밖에 없다.

지난해 전세계 보안 당국을 긴장시켰던 ‘로그4J 취약점(로그4셸)’이 대표적이다. 전세계에서 광범위하게 사용하는 소프트웨어 개발 프로그램인데다, 해커를 이 취약점을 악용할 경우 시스템을 마음대로 통제할 수 있어 “컴퓨터 역사상 최악의 취약점”으로도 불린 바 있다. 보안 전문가들은 오랜 기간 이 취약점을 악용한 해킹시도가 은밀히 이뤄졌을 것으로 보고 있다.

사이버 범죄 조직들이 제로데이 취약점 정보 파악에 혈안인 이유다. 세계 정보기관들도 더하다. 아이폰, 안드로이드폰, 마이크소프트 윈도 운영체제(0S) 등 세계적인 상용 제품과 서비스의 취약점을 활용할 경우 적국이나 테러조직에 대한 도감청 작전에 유리하다. 적국이나 정적에 대한 사이버 공격을 비밀리에 수행하기에는 더할 나위 없이 좋은 수단이다.

지난해 스파이웨어 ‘페가수스’의 존재가 밝혀지며 전세계가 충격에 빠졌다. 페가수스는 이스라엘 보안기업이 2011년 개발해 외국 정보기관들을 상대로 판매해왔다. 페가수스는 애플이 발견하지 못한 제로데이 취약점을 기반으로 제작됐다.

당초 범죄자와 테러리스트 감시를 명분으로 개발된 페가수스는 정작 정치인, 언론, 사회운동가 등을 무분별하게 사찰하는 데 이용됐다는 지적을 받고 있다. 50개국 1000명으로 파악된 페가수스 피해자 명단에는 엠마누엘 마크롱 프랑스 대통령도 이름을 올렸다.

이번 견적서 유출 사건은 버그 분석 전문기업과 정보기관들의 은밀한 거래가 여전히 성행하고 있음을 방증한다. 최상명 NSHC 데이터&인공지능(AI)팀 매니저는 “제로데이 취약점 거래는 끊임없이 이어지고 있다”라며 “다만 페가수스 사례처럼 노출되지 않았을 뿐”이라고 말했다.

위키리크스 폭로에도 은밀한 거래 지속…브로커 기업까지 활개

지난 2017년 웹사이트 위키리크스는 미국 중앙정보국(CIA)가 자체 해킹과 타 정보기관, 외부 사설업체 및 해커를 통해서 애플 iOS와 구글 안드로이드, MS의 윈도의 제로 데이 취약점을 대량으로 수집해왔다고 폭로해 주목을 받았다. 통상 국가기관이 자국 소프트웨어 및 시스템 산업 보호에 우선 나설 것이라는 신뢰를 깨고 국가권력의 정보 감시 활동에 자국 소프트웨어의 위험한 취약점을 몰래 악용해왔다는 비난이 봇물을 이뤘다. 위키리크스는 당시 “우리의 폭로로 CIA가 상당 부분의 해킹 무기를 잃게 됐다”고 평가했다.

하지만 위키리크스의 폭로는 이 같은 단면을 알리는 데 그쳤다. 오히려 타국 정보기관들의 레퍼런스로 작동하며 스파이 기관들의 제로데이 취약점 쟁탈전에 불을 붙인 단초가 됐다는 분석도 있다. 실제 수많은 정보기관들이 브로커를 활용해 더욱 적극적으로 제로데이 취약점을 물색해온 것으로 알려졌다.

미국 보안기업 제로디움은 화이트 해커들로부터 제로데이 취약점을 사들여 더 비싼 가격에 각국 정보기관에 되파는 것으로 유명하다. 해커들을 대상으로 특정 운영체제의 취약점을 얼마에 구매하겠다고 공고하는 식이다.

지난 2018년 왓츠앱, 페이스북 메신저, 텔레그램 등 온라인 메신저의 제로데이 취약점을 5억원에 사겠다는 발표로 화제를 모았다. 제로디움은 거래 과정에서 취약점에 대해 해당 프로그램 개발사에 어떠한 정보도 공유하지 않는다. 그 때문에 보안기업의 정체성을 잃었다는 지적을 받는다. 그러나 제로디움은 이 같은 비난에도 아랑곳하지 않고 2022년 현재도 제로데이 취약점을 부지런히 사들이고 있다.

직접 거래 뛰어드는 제조사들…“취약점 거래는 사라지지 않을 것”

소프트웨어 기업들 스스로 취약점 방어 투자에 나설 수 밖에 없는 상황이 됐다. 너도나도 자사 소프트웨어를 대상으로 한 취약점 신고 보상 프로그램(버그 바운티)를 운영하고 있다.

1995년 버그바운티를 처음 만든 넷스케이프가 준비한 포상은 티셔츠와 머그컵이 전부였지만, 이제는 소프트웨어 기업들이 건당 수천만원에서 수십억까지 보상금을 지급한다. 최 매니저는 “애플의 경우 건당 최대 10억원의 보상금을 지급하기도 한다”라고 말했다. 삼성, 구글 등 많은 기업들이 버그 바운티를 적극 운용하고 있다.

그렇다고 제로데이 취약점 거래가 줄어들었을까. 전문가들은 앞으로도 제로데이 취약점에 대한 수요와 공급이 계속될 것으로 전망했다.

최 매니저는 “제로데이 취약점을 이용하려는 정보기관들은 가격에 크게 개의치 않는다”라며 “수요가 계속 유지되는 한 가격 상승 역시 계속될 것”이라고 전망했다.

◎공감언론 뉴시스 [email protected]