'마이크로소프트(MS) 오피스를 이용해 특정인 PC를 원격 제어하는 취약점을 팝니다.'
특정 상용 소프트웨어(SW)에서 발견한 알려지지 않은(제로데이) 취약점이 암시장에서 거래된다. 거래 규모가 커지면서 일종의 산업으로 자리 잡았다. 수많은 사이버 공격에 쓰인 취약점을 이용한 공격 도구 '앵글러 익스플로잇킷'은 거래금액이 3조원에 달했다.
28일 관련업계에 따르면 사이버 무기로 쓰이는 '보안취약점 거래 산업'이 급성장했다. 전문가들은 합법과 불법이 공존하는 보안취약점 거래 산업 규모는 어림잡아 수십조원에 달한다고 분석했다.
프랑스 뷔펜시큐리티 등은 특정 SW나 하드웨어(HW)에서 찾은 보안 취약점을 해당 기업에 알려주고 보상을 받는 비즈니스 모델을 만들었다. 다른 기업이나 개인은 추적이 어려운 비트코인이 활성화되면서 암시장(블랙마켓) 보안 취약점 거래도 탄력을 받았다.
보안 취약점이란 해킹 공격에 이용할 수 있는 버그다. MS 윈도를 비롯해 오피스, 인터넷익스플로러(IE), 구글 안드로이드와 크롬, 어도비 플래시플레이와 애크로뱃, 오라클 자바 등 상용 프로그램이 가진 허점이다. 최근에는 무선공유기와 IP카메라, NAS 등 사물인터넷(IoT) 기기의 취약점도 거래된다. 군이나 정보기관은 자체적으로 SW 취약점을 찾는 연구원이나 부서를 두거나 외부에서 취약점 정보를 구매한다.
보안 방법이 없는 취약점이 제로데이(Zero Day)다. 특정 SW나 기기에서 제로데이의 취약점을 찾으면 암시장에서 이를 거래한다. 제로데이 취약점의 가치는 천차만별이다. 적게는 수백만원에서 많게는 수억원에 이른다.
이승진 그레이해쉬 대표는 “취약점 활용 범위와 심각성에 따라 가격이 결정된다”면서 “세계적으로 얼마나 많은 공격에 쓸 수 있느냐가 핵심”이라고 설명했다. 이 대표는 “애플 iOS의 취약점은 수억원에 이른다”고 덧붙였다.
취약점 판매는 일정한 규칙(약관)에 따라 이뤄진다. 보안 취약점이 발견된 후 패치가 나오면 가치가 하락한다. 예로 1억원짜리 보안 취약점이 있다면 구매자는 5000만원을 내고 해당 취약점을 산다. 이후 한 달이 지나면 2500만원, 두 달 후 잔금 2500만원을 낸다. 보안 취약점의 보증기간은 평균 두 달이다. 두 달 동안 해당 취약점에 패치가 나오지 않으면 1억원을 다 받는다. 만약 2500만원이 남은 상태에서 패치가 나오면 잔금은 지급하지 않는다. 일부 취약점 판매자는 잔금을 받고 새로운 제로데이를 공급한다.
최우석 한국정보보호교육센터 선임연구원은 “보안 취약점 공급자는 기술 수준이 높다”면서 “수요가 늘면서 공급업자가 동시에 증가했다”고 설명했다. 최 연구원은 “운용체계(OS)나 기기와 상관없이 멀티플랫폼과 기기에서 작동하는 보안 취약점 가격이 비싸다”면서 “특정 기업이나 개인을 표적으로 삼는 지능형지속위협(APT) 공격 증가로 취약점 비즈니스가 활성화됐다”고 덧붙였다.
보안취약점 거래에 대한 정부 차원의 대응이나 공식 정의를 내리기는 어렵다.
임진수 한국인터넷진흥원 인텔리전스협력팀장은 “취약점 사용 의도에 따라 불법과 합법으로 나뉘는데 경계가 모호하다”면서 “불법이라도 거래 현장을 잡기 어렵다”고 말했다. 임 팀장은 “글로벌 기업은 물론 KISA는 취약점을 신고하면 포상하는 '버그바운티'를 운영하고 있다”면서 “취약점 거래를 막고 양성화, 빠른 패치를 유도한다”고 덧붙였다.
김인순 보안 전문기자 insoon@etnews.com