제로데이 취약점과 익스플로잇을 찾아 이를 정부와 기업에 판매하는 것으로 유명한 프랑스 기업 VUPEN(부펜)이 지난 5월 문을 닫고 최근 ‘Zerodium’(제로디움)이라는 회사로 변신했다.
 
부펜 설립자 Chaouki Bekrar는 새롭게 ‘제로디움’이라는 회사를 설립하고 이전 부펜에서 제로데이와 익스플로잇을 직접 찾아 판매하던 방식에서 벗어나 취약점과 익스플로잇을 전세계 해커들로부터 구매해 이를 유통하는 기업으로 성장시켜 나가겠다고 밝혔다.
 
특히 제로디움은 하이퀄리티의 취약점과 익스플로잇, 방어시스템을 구매하고 이를 판매하는데 초점을 맞추고 있다. 대다수 버그바운티에서 구매하고 있는 낮은 레벨의 취약점은 구매 대상이 아니다.
 
취약점 구매 대상은 전세계적으로 유명한 OS, 소프트웨어, 디바이스 등에 영향을 줄 수 있는 것으로 전세계 어떤 버그바운티에서 지불하는 비용보다 더 많은 보상을 하겠다고 공언하고 있다. 주로 Windows, OS X와 Linux 등 4개 주요 메이저 브라우저, 플래시와 리더, 마이크로소프트 오피스, 안드로이드, iOS, 블랙베리, 윈도우폰 그리고 글로벌 웹사이트와 메일서비스 등에 치명적 영향을 줄 수 있는 취약점과 익스플로잇을 구매하겠다는 것.
 
◇취약점 사업, 국내는 어떨까…
그렇다면 취약점 사업, 국내는 어떨까. 국내에서는 취약점을 찾아 사업을 영위하고 있는 기업은 거의 없다고 볼 수 있다.
 
이승진 그레이해쉬 대표는 “국내 기업중에 제로데이만을 찾고 이를 유통하는 사업모델만을 가진 기업은 없다. 또 국내 해커들 중에서도 취약점이나 익스플로잇을 공공연히 판매하는 해커들도 거의 드물다”며 “해외 유명 취약점 판매 전문 기업들은 이를 통해 기업을 성장시킬 수 있다. 전세계 해커들을 대상으로 취약점을 구매해 많은 나라의 정부와 기업을 상대로 크리티컬한 취약점과 공격툴을 판매해 돈을 벌고 있다. 하지만 국내 상황은 그렇지 못하다. 국내에서 취약점 리서치와 공격툴만 팔아서는 기업을 성장시키기 힘들다. 그런 문화도 형성아 안되어 있다. 시장의 규모와 문화적인 차이 때문일 것이다. 취약점 관련 사업은 국내에서는 좋은 사업모델은 아니라고 생각한다”고 말했다.
 
또 국내 기업중 취약점 리서치를 일부 사업 모델로 하고 있는 모 기업 대표도 “국내 상황은 취약점 찾아 기업이 성장할 만큼 수익을 내보겠다는 기업은 거의 없다. 국내에서 취약점을 구매하는 기관은 KISA 뿐이다. 그 비용도 기업을 운영할 만한 정도는 아니다. 대부분 크리티컬한 취약점을 찾아 실력을 인정 받고 이를 통해 대기업 제품개발 과정에 관여하거나 제품 보안 컨설팅 사업을 수주하는데 목적이 있다”며 “국내도 취약점을 구매하려는 문화가 형성되려는 과도기에 있는 것으로 보인다. 크리티컬한 취약점을 찾기도 힘들고 국내 기업에 이를 판매하기도 힘드니 취약점 사업은 아직 국내에서는 좋은 사업모델은 아니다”라고 설명했다.
 
심준보 블랙펄시큐리티 이사도 “해외는 취약점 사업이 괜찮은 모델이지만 국내에서는 시기상조다. 버그바운티도 KISA 이외에는 유명무실하다. 특히 취약점 구매가 기업들이 예산을 배정하기도 애매한 항목이라 국내 기업들이 쉽게 지갑을 열 수 있는 상황은 아니다. 몇몇 정부기관만을 보고 국내에서 취약점 사업을 할 수는 없다. 구매처가 한정돼 있기 때문”이라며 “하지만 미국을 비롯한 선진국들은 취약점 구매를 미래의 정보전에 사용하기 위해 많은 투자를 하고 있다. 한국도 이에 대한 준비를 해야 하는데 아직 그런 마인드 형성은 안돼 있는 것으로 보인다”고 말했다.
 
한국은 아직 취약점 리서치와 판매만으로 사업을 성장시켜 나갈만한 현실적 상황이 아니란 것이 해커들의 공통된 입장이다. 하지만 심준보 이사의 말처럼 크리티컬한 취약점과 익스플로잇을 얼마나 많이 확보하고 있느냐는 미래 정보전에 큰 영향을 미칠 것으로 보인다. 이에 대한 우리의 준비가 얼마나 돼 있는지 생각해 볼 문제다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com