[김국배기자] "제로데이 취약점의 가격은 날이 갈수록 치솟고 있다. 기하급수적까진 아니라도 매년 2~3배 이상 뛰고 있다."
보안 분야의 전문가가 아니라면 알기 어려운 제로데이 취약점은 마이크로소프트(MS) 워드나 한글, 인터넷 익스플로러(IE), 크롬 등 소프트웨어(SW) 프로그램에서 발생할 수 있는 보안 취약점을 말한다.
삼성SDS 통합보안센터 이승진 기술자문위원은 "군이나 정부기관에서 제로데이 취약점을 공격적으로 사용하려는 필요성(needs)이 커지고 있다"며 "수요가 많아지면서 가격이 올라가고 있는 것"이라고 말문을 열었다. 화이트해커이기도 한 이승진 기술자문위원은 현재 사이버사령부 자문위원으로도 활동하고 있다.
제로데이 취약점은 상대방을 해킹할 수 있는 공격 무기다. 이미 사이버 공간은 육·해·공에 이는 제4의 영토라 여겨지고 있다. 군이나 정부기관은 자체적으로 SW 취약점을 찾는 부서나 연구원을 두는데 그치지 않고 외부에서 추가적으로 확보하려 한다. 각국의 정부가 어마어마한 비용을 들여 물리적 무기를 만드는 데 투자하는 것과 마찬가지다. 해커들은 주로 소스코드를 보거나 SW에 무작위로 데이터를 반복해 입력하는 퍼징(fuzzing) 등의 방법을 통해 취약점을 찾아낸다.
그는 제로데이 취약점의 가격 상승의 다른 이유로 "SW 회사 역시 보안 취약점이 더 이상 안 나오게 투자를 늘리고 있어 해커 입장에서선 앞으로 이를 발견하기 더 어려워질 것이기 때문"이라고 설명했다.
제로데이 취약점의 가치는 어떻게 평가될까. 그는 "제로데이의 가격은 천차만별"이라며 "이는 전 세계적으로 얼마 만큼 쓰일 수 있는지 공격 성공률은 얼마나 높은지에 따라 결정된다"고 설명했다. 취약점의 활용 범위와 심각성에 달린 셈이다.
그는 "아래아 한글의 경우는 전 세계적으로는 안 쓰고 국내에서만 쓰이기 때문에 MS 워드나 파워포인트에 비하면 가치가 훨씬 떨어진다고 볼 수 있다"고 덧붙였다. 100~500달러의 낮은 가격의 취약점에서부터 100만 달러에 달하기도 한다는 게 그의 설명이다.
그는 "어떤 하나의 소프트웨어 취약점이 이 정도로 높은 가격을 받을 수 있다는 것 자체가 보안 산업을 얼마나 중요하게 여기는지 시사한다"고 했다.
이처럼 제로데이의 가치가 상승하다보니 이를 전문으로 발견하고 파는 '전업 제로데이 해커'들도 전세계적으로 꽤 많이 있다는 것이 그의 말이다.
그는 "프랑스에는 SW 취약점을 발견하고 이를 판매하는 것을 전문으로 하는 '부펜'이라는 보안 회사도 있다"며 "국내 기관을 포함해 나토(NATO)에 가입된 상당수 국가가 이 곳에서 제로데이 취약점을 사고 있다"고 말했다.
그는 보안 취약점에 대한 국내 기업들의 태도에 대해선 아쉬움을 드러내기도 했다.
그는 "구글, MS 등 미국 유명 대기업들은 해커들이 찾아낸 SW 취약점을 접수받는 프로그램을 운영하고 직접 대회까지 주최해 상금을 주기도 한다"며 "해커들에게 상금과 명예를 줘 더 많은 해커들이 SW를 연구해야 결과적으로 더 안전하게 만들 수 있다고 생각하기 때문"이라고 말했다.
해커들이 보안 취약점을 악용하지 않고 공식적인 행사를 통해 돈과 명예를 얻을 수 있도록 하면서 양지로 나올 수 있는 프로세스를 만드는 셈이다.
그는 "화이트해커들이 SW 회사들에 이런 취약점이 있으니 신속하게 패치하도록 권고하면 아쉽게도 오히려 싫어하는 회사들이 많다"며 "'당신이 뭔데 우리 회사의 SW 취약점을 찾느냐. 고소할 수도 있다'라는 반응이 돌아오기 십상"이라고 말했다. 감추는데 급급하다는 인상을 주는 대목이다.
그는 또 "국내 SW 회사들은 아직까지 이에 대한 인식이 부족하고 그러한 분위기가 잘 형성돼 있지 않은 게 산업계의 안타까운 모습이기도 하다"고 덧붙였다.
김국배기자 vermeer@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기