제로데이(Zero-day)라는 표현은 소프트웨어에서 최근 발견된 보안 취약점으로 아직 해당 소프트웨어 벤더사나 개발자가 패치를 내 놓지 않은 것을 말한다. 또 제로데이 공격은 패치가 나오기도 전에 해당 취약점을 공격하는 것을 일컷는다. 이렇게 되면 해당 소프트웨어 이용자들은 속수무책으로 당할 수밖에 없다.
 
해외의 경우 제로데이 취약점은 국가 기관이나 해당 벤더사에서 해커들에게 취약점의 중요도에 따라 보상기준을 마련해 두고 적극적으로 취약점을 수집하고 있다. 만약 제로데이 취약점을 몰라 국가기간망이나 주요 제품이 악의적 해커들의 집중 공격대상이 된다면 그 손실이 더 크다는 것을 잘 알고 있기 때문이다.   
 
국내 해커들은 열심히 연구해 알아낸 제로데이 취약점을 해당 벤더사에 알려줬더니 보상은 커녕 오히려 욕이나 하고 법적으로 대응하겠다는 말만 들어왔던 것이 사실이다. 국가기관과 기업들의 마인드가 바뀌지 않는한 해커들도 굳이 고생스럽게 취약점을 찾아 알려줄 의무가 없는 것이다.
 
특히 최근 한국에서 많이 사용하는 소프트웨어의 취약점을 악용해 공격하는 사례가 늘고 있다. 한국형 제로데이 취약점 정보센터가 활성화 되려면 정부와 기업들이 국내 해커들이 자유롭게 연구할 수 있는 환경과 보상체계가 마련돼야 한다는 목소리가 높다.
 
다음 글은 BEISTLAB(비스트랩) 이승진 님의 블로그에 포스팅된 내용으로 국내에서 정당하게 제로 데이 취약점을 알려주고 보상까지 받을 수 있는 방안에 대해 소개한 내용이다. 보다 자세한 내용은 다음편에서 이어질 예정이다. [편집자 주]
 
ASLR, DEP 등의 보호 기술이 컴퓨터에 적용되고 코드 검증 등의 기술 발달로 인해 취약점을 찾기가 어려워졌습니다. 취약점을 찾기 위해서는 예전보다 더 많은 시간을 쏟아야 합니다. 즉, 취약점의 가치가 올라가고 있다는 얘기입니다.
 
국내에는 블랙햇이 거의 없습니다. 있다면 거의 대부분 스크립트 키드이죠. 버그를 발견하는 사람들은 화이트햇 해커라고 볼 수 있는데, 버그를 찾으며 할애한 시간들을 보상 받고 싶어합니다. 다행스럽게도, 국내에서도 화이트해커들의 노력을 보상하려하는 시도가 늘어나고 있습니다. 특히 기관에서 앞장을 서고 있는데요, 본 글에서는 해당 기관들에 대해 간략히 소개해보도록 하겠습니다.
 
◇국가사이버안전센터 (NCSC)
-신고 URL: service1.nis.go.kr/declare/cyber_declare.jsp
 
NCSC는 홈페이지를 통해 취약점을 제보 받습니다. 취약점 이외에도 국내 사이버 안보에 위협이 될만한 제보는 모두 받고 있습니다. 화이트햇 해커들에게 소프트웨어 취약점을 제보받게 되면, NCSC가 해당 벤더에게 직접 연락하여 패치를 하도록 조치를 취합니다. 제보 받은 취약점의 파급력에 따라서 보상금도 지급하고 있습니다.
(단, 보상 선정은 한달에 한번만 한다고 합니다. 따라서 여러 개의 취약점을 한꺼번에 보낼 경우, 나머지 버그에 대해서는 보상을 못 받으실 수도 있으니, 이 점을 염두해두시기 바랍니다.)
 
◇한국인터넷진흥원 (KISA)
-신고 URL: 사업 준비 중
KISA에서도 NCSC와 유사한 사업을 준비 중입니다. 현재 준비 단계이며 들리는 정보에 의하면 3월부터 실행이 된다고 합니다. 기본적으로는 NCSC와 같은 목적을 가진 사업입니다. 제보 받은 취약점은 벤더에 연락하여 패치를 하도록 조치합니다. 또한, 이렇게 모은 데이터들을 이용하여 한국형 CVE를 만든다고 합니다. 역시 제보자에게는 취약점의 파급력에 따라서 보상금이 주어집니다.
 
◇일반 사기업
들은 정보에 의하면 몇몇 사기업에서도 앞으로 취약점을 구입할 계획이 있다고 합니다. 제가 알기로는 구체적으로 진행된 사업은 아직 없는 것으로 알고 있는데, 올해 내에는 볼 수 있을거라 예상합니다.
 
개인적인 생각을 추가로 적어보겠습니다. 버그를 발견했을 때 벤더에 신고해야 할지, 여부에 대해서 고민을 하시는 분들은 벤더에게 연락을 취하지 말고 위에서 언급한 단체로 연락하실 것을 권고합니다. 벤더에 따라 천차만별이지만 버그 발견자에게 호의적인 벤더는 거의 없습니다. 심한 경우에는 고소를 한다는 협박도 합니다. 법적인 문제를 떠나서, 개인이 회사를 상대한다는 것은 쉽지 않은 일이죠.
 
기관을 통한다면, 난처한 일이 생길 일도 없으며 심지어 금전적인 보상금을 얻을 수도 있습니다. 또한 실제로 패치 작업도 이루어지기 때문에 네티즌을 보호하는데 일조하는 등 사회 공헌에도 한 몫을 하게 됩니다. Credit도 빼놓지 않고 얻을 수 있죠. 굳이 벤더에게 직접 연락해서 위험을 감수할 필요가 없다는 이야기입니다. 또한 기관을 통할 경우, 패치 작업이 더 빠르게 이루어집니다.
 
아쉬운 점은, 위에서 언급한 단체들은 보상금이 크지는 않습니다. 버그 리포트를 통해 사회 공헌을 하는 것도 좋지만 들인 시간에 대한 정당한 보상을 받는 것도 추가 연구를 위한 좋은 동기가 될 수 있습니다.
 
만약 해외의 유명한 프로그램에서 버그를 찾을 경우에, 합법적으로 굉장히 많은 보상금을 받을 수도 있습니다. 사회에도 여전히 공헌할 수 있죠. 이에 대한 이야기는 추후에 따로 다루도록 하겠습니다.
[글. 비스트랩 이승진 beistlab@gmail.com]