2024-12-22 10:20 (일)
[인터뷰] 글로벌 제로데이 취약점 거래 기업 '크라우드펜스' CEO 안드레아
상태바
[인터뷰] 글로벌 제로데이 취약점 거래 기업 '크라우드펜스' CEO 안드레아
  • 길민권 기자
  • 승인 2018.11.12 04:11
이 기사를 공유합니다

"제로데이 시장 2,000억 규모, 신뢰할 수 있는 국가의 법집행기관 등에 판매"

▲ POC 2018. 제로데이 취약점 거래 글로벌 기업 '크라우드펜스' CEO 안드레아.
▲ POC 2018. 제로데이 취약점 거래 글로벌 기업 '크라우드펜스' CEO 안드레아.
한국에서는 생소한 제로데이 취약점 거래 사업은 어떻게 이루어질까. 지난 11월 8일부터 9일까지 한국에서 열린 국제해킹·보안컨퍼런스 POC 2018에 크라우드펜스(Crowdfense) 대표 안드레아(Andrea)가 참석했다는 소식을 듣고 현장을 방문했다.

크라우드펜스는 제로데이 취약점 거래 전문 기업으로 설립한지 1년된 기업이다. 회사 운영에 좋은 환경인 두바이에 사무실을 두고 있으며 30여 명의 취약점 검증 연구원들이 함께하고 있다. 사업 초기, 크라우드펀딩으로 상당한 자금투자를 받았으며 모든 브라우저와 모바일 OS의 제로데이 취약점을 구매하고 판매하고 있다. 거래처는 대부분 신뢰할 수 있는 정부와 법 집행기관, 수사기관, 사이버 인텔리전스 전문기관 등이다.

데일리시큐는 POC 2018 현장에서 크라우드펜스 CEO 안드레아를 만나 2,000억 시장 규모를 가지고 있는 제로데이 거래 시장에 뛰어든 크라우드펜스에 대한 이야기를 들어봤다.

"20년간 보안업무...오펜시브 기술 필요성과 시장 니즈 파악후 사업 시작"

우선 안드레아가 제로데이 거래 사업을 시작하게 된 이유가 궁금했다. 그는 "20년간 유럽 KPMG에서 20여 년간 사이버보안 업무와 국장직을 수행해 왔다. 이후 디펜스 업무보다는 오펜시브 영역에 매력을 느끼게 됐다. 기관들이 오펜시브 기술을 필요로 한다는 것을 알게된 것이다. 그런 기술을 통해 국민을 보호하고 테러를 방지하는 등 필요하고 매력적인 사업영역으로 바라보게 됐다"고 말했다.

그는 제로데이 마켓에 대한 고객들의 니즈와 중요성을 인식한 후 1년간의 준비 끝에 지난 2017년 크라우드펜스를 설립하게 됐다. 초기에 가장 힘드었던 점은 거래계약서를 만드는 일이었다. 사이버무기에 대해 다양한 국제법을 뒤져봐도 확실한 법적 근거가 마련돼 있지 않아 어려웠다고 전했다. 국제법과 각 나라마다 관련 법 조항을 체크하며 거래계약서를 완성한 후 사업을 시작하게 된 것이다.

"6단계 거쳐 제로데이 구매...30여 명 연구원이 취약점 검증, 익명성 보장"

크라우드펜스가 거래하는 제로데이 취약점은 무엇이고 누구와 어떻게 거래가 이루어질까.

그는 "모든 브라우저와 모바일 OS 제로데이 취약점들이 거래 대상이다. 구매자는 대부분 군기관이 아니라 믿을 수 있는 국가의 법집행기관, 인텔리전스 기관 등이며 정보수집과 첩보활동을 목적으로 구매가 이루어지고 있다"고 말했다.

또 "회사 내부에 30여 명의 분야별 연구원들이 브라우저별, OS별로 검증 업무를 각각 맡고 있다. 각 OS별로 세분화해서 한 연구원이 하나의 OS만을 맡아 스페셜한 검증업무를 하는 것"이라며 "해커에게 제로데이 취약점을 구매할 때 절차는 6단계로 이루어진다. 해커가 크라우드펜스 취약점 허브 사이트에 정보를 올리면 우선 우리의 구매대상인지 판단을 하고 구매대상이면 회사 연구원들과 해커가 상호 논의를 한 후 비디오와 증거자료 등을 받아 검증 후 가격을 논의한다. 가격협상이 완료되면 계약서를 작성하고 최종 코드검토후 구매가 완료된다"고 설명했다.

안드레아는 크라우드펜스가 취약점 정보를 판매한 해커와 구매한 기관의 익명성을 완벽하게 보호하고 있다고 강조하고 안심하고 https://vrh.crowdfense.com을 이용해 달라고 강조했다.

"최신 iOS 제로데이 15억에 구매...안드로이드 풀체인 제로데이 있다면 더 비쌀 것"

취약점 거래 가격은 어떻게 형성될까. 그는 "제로데이 취약점은 복잡한 기술이며 변화가 심하다. 그래서 가격차이도 천차만별이다. 해커들은 자신이 찾은 제로데이를 여러 회사에 판매한다. 다만 크라우드펜스는 구매대상인 제로데이는 상당한 금액을 지불하고 있다"며 "최근 가장 고가에 구매한 취약점은 iOS 취약점으로 15억에 구매한 바 있다. 모든 버전에 공격이 가능하기 때문이다. 안드로이드 취약점도 고가에 구매가 이루어지고 있으며 만약 안드로이드의 유니버셜 풀체인 제로데이 취약점과 공격툴이 있다면 iOS 보다 더 비싼 비용이 책정될 수도 있다"고 설명했다.

이어 그는 "브라우저와 OS 기업들이 취약점 관리를 잘하고 있기 때문에 취약점을 찾기는 더욱 힘들어질 것이다. 발견하는 해커들도 점점 줄어들 수 있다. 웬만한 수준의 해커가 아니면 힘들기 때문이다. 그래서 제로데이 취약점은 더 비싸질 것으로 예상한다"고 덧붙였다.

한편 크라우드펜스는 주로 신뢰할 수 있는 국가의 법집행기관과 거래를 하고 있으며 아무리 거액을 제시해도 테러 등 파괴목적으로 사용하려는 기관에는 판매하지 않고 있다. 법을 지키는 선 안에서 사용할 것을 판매 기준으로 잡고 있으며 법 체계가 확실한 나라에만 판매 하는 등 고객을 선별하는 작업에도 신중을 기하고 있다고 한다. 특히 똑똑한 구매자여야 한다. 그래야 제로데이를 사용할 수 있기 때문이다. 이를 응용해서 사용할 수 있는 사람과 인프라가 구축된 기관과 거래하고 있다.

그는 제로데이 마켓 규모를 2,000억 정도로 추정하고 있다. 구매대상이 될만한 제로데이 취약점은 1년에 대략 50여 개 정도이며 실제로 더 큰 시장은 제로데이를 응용해 만들어진 스파이도구 시장이라고 말한다.

안드레아는 해킹팀 사건에 대한 자신의 의견도 밝혔다. 해킹팀은 제로데이를 구매해서 스파이웨어를 만들어 정부에 판매하는 기업이었다. 하지만 어느 순간부터 제로데이와 해킹도구를 무분별하게 판매하기 시작했다. 해킹팀은 적을 너무 많이 만들었다. 그래서 사고가 발생한 것이다. 이런 이유때문에 판매에 더욱 신중을 기해야 한다고 강조했다.

마지막으로 그는 "제로데이 취약점 거래는 범죄와 테러 방지, 국가의 평화유지 등 다양한 순기능을 위해 필요하고 누군가는 아주 전문적으로 꼭 해야 하는 영역이다. 크라우드펜스는 앞서 언급한 명확한 규정과 계약에 따라 엄선해서 제로데이를 판매하고 해커들의 정보 가치를 인정해 주기 위해 앞으로도 노력해 나갈 것"이라고 밝혔다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★