2019-10-24 11:24 (목)
[단독] 수억원에 판매되고 있는 삼성 스마트폰 제로데이 취약점…2018년에 5개 거래 확인돼
상태바
[단독] 수억원에 판매되고 있는 삼성 스마트폰 제로데이 취약점…2018년에 5개 거래 확인돼
  • 길민권 기자
  • 승인 2019.09.04 15:01
이 기사를 공유합니다

2018년 거래된 삼성 엑시노스 취약점은 1개당 6억원 이상 금액으로 판매돼
삼성 S9 크롬 샌드박스 우회 통해 공격 가능한 제로데이 취약점은 1개당 9억원 이상에 판매
해외 제로데이 취약점 거래 시장 정보 수집 노력 필요…피해는 소비자 몫

한국인터넷진흥원(KISA. 김석환 원장)에 따르면, KISA 버그바운티 프로그램에 참여하고 있는 기업이 16개사다. 네이버는 최근 단독으로 버그바운티를 운영하겠다며 독립을 선언했고 삼성전자도 2017년 9월부터 단독으로 버그바운티 프로그램을 운영 중이다.

하지만 문제는 해외 제로데이 거래 시장과 비교해 국내 버그바운티 보상비용 경쟁력이 현저히 떨어진다는 점이다. 해커들은 실제 크리티컬한 제로데이 취약점은 글로벌 제로데이 거래시장에다 내놓지 KISA나 삼성에 제보하지 않는다.

한국 소프트웨어 취약점 위주로 받고 있는 KISA의 2019년 버그바운티 포상금액 전체 예산은 2억6천만원에 불과하다. 삼성은 2017년 9월부터 버그바운티를 자체적으로 실시해 해커들에게 포상한 금액이 12억원 정도다. 반면 지난해 제로데이 거래시장에서 판매된 삼성 스마트폰 제로데이 취약점 하나만 해도 1건당 50만달러(6억 이상)에 판매될 정도였다. 실제 글로벌 거래 시장에서 형성되는 취약점 가격과 한국의 버그바운티 비용은 상당한 차이를 보이고 있는 것이다.

이런 이유 때문에 삼성은 실제 제로데이 거래 시장에서 삼성의 어떤 취약점들이 거래되고 있는지 파악하기 힘들고 어떤 제로데이가 거래되는지 알 수 없기 때문에 대응도 어렵게 된다. 취약점에 대한 피해는 삼성 스마트폰을 사용하는 사용자들이 받기 때문에 삼성의 글로벌 제로데이 취약점 거래 정보 파악은 꼭 필요한 부분이라고 할 수 있다.

최근 데일리시큐는 국내 보안업체 POC Security(피오시 시큐리티)의 도움을 받아 글로벌 제로데이 거래시장에서 삼성전자(005930. 김기남 대표이사) 스마트폰 제로데이 취약점 거래 현황을 확인했다. 삼성전자 스마트폰의 제로데이 취약점이 거래시장에서 암암리에 1개당 수억원의 고가에 판매되고 있는 정황이 확인된 것이다.

삼성전자의 적극적인 대처가 없다면 판매된 취약점들이 국내에 어떤 악영향을 미칠지 알 수 없다. 국내 일반 사용자뿐만 아니라 공공기관, 군 등 안보와 관련된 기관들도 삼성 스마트폰을 사용하고 있기 때문에 정보유출에 따른 심각한 상황이 발생할 수 있다. 또한 데일리시큐가 확인한 것 이외에도 거래가 더 있을 수 있기 때문에 취약점 거래 정보에 대한 정보수집은 다양한 루트를 통해 철저히 확인할 필요가 있다. 제로데이 취약점이 확인되면 패치를 통해 보안위협을 제거해야 한다.

지난 8월 20일 삼성전자는 '제3회 삼성전자 보안기술포럼'을 개최하고 이 자리에서 삼성리서치 안길준 전무는 “삼성 스마트폰의 보안 취약점 제보받고, 이에 대한 보상금을 제공하는 프로그램을 운영 중이다. 2017년 9월 출시 이후 2천 건 이상의 제보를 받았고, 170명 리서처에게 보상을 제공했다”며 “총 보상 금액은 100만달러(약 12억원)에 달하며 제보 하나에 적게는 200달러, 많게는 20만달러까지 보상금이 책정된다. 제보 하나로 받아 간 최고 금액은 12만달러다. 한 사람이 여러 건을 제보해 23만달러를 수령하기도 했다”고 밝혔다.

하지만 이런 노력에도 불구하고 해외 제로데이 거래 시장 조사 결과, 2018년에 5개의 삼성 제로데이 취약점 거래가 확인되었다.(확인된 것만 5개. 더 많이 판매됐을 수도 있는 상황)

삼성전자 측은 자신들의 버그바운티 프로그램에서 최고 금액을 20만달러로 책정하고 있다. 하지만 블랙마켓에서는 그 금액을 훨씬 뛰어 넘는 금액으로 거래되고 있었다.

확인 결과, 2018년에 거래된 삼성 엑시노스(Exynos) 취약점을 이용하는 앱을 통한 커널 권한 획득 취약점의 경우 50만달러에 거래가 되었고, 커널 LPE 취약점은 30만달러에 거래가 되었다.

또 삼성 S9의 크롬 샌드박스 우회를 통해 공격이 가능한 제로데이 취약점은 무려 75만달러에 거래가 된 것으로 확인됐다. 확인결과 누가 삼성 스마트폰 제로데이 취약점을 구매했는지는 알 수 없다. 스파이 활동에 필요했기 때문에 구매했을 것이고 이미 제로데이 상태에서 공격을 진행하고 있을 것으로 추정된다.

삼성전자 측이 버그바운티 프로그램에서 크리티컬(Critical, 심각)로 분류한 취약점은 다음과 같다.

△TEE에서 임의의 코드 실행 △원격 코드 실행 △원격 서비스 거부 취약점 △사용자의 인터액션 없이 원격으로 패키지 설치 △Secure Boot 우회 △하드웨어 보호 키에 대한 접근 등이다.

삼성은 이런 취약점에 대해 최대 20만달러 보상금을 책정하고 있지만 실제 블랙마켓에서는 2~3배 금액으로 거래되고 있는 것이다. 이 금액도 비독점으로 거래되는 금액이다. 즉 여러 곳에 판매할 수 있는 것이다. 과연 해커라면 어디에 취약점 정보를 제공할까. 20만달러를 받고 삼성전자 측에 제공할지 아니면 40만~60만달러를 받을 수 있는 블랙마켓에서 판매할지 선택은 취약점을 찾은 해커 자신의 몫일 것이다.

문제는 제로데이 상태에서 판매된 취약점들이 어떤 목적으로 사용됐는지 알 수 없다는 점이다. 어떤 제로데이 취약점들이 판매되는지 정보 수집 루트를 통해 지속적인 대응이 필요한 상황이다.

데일리시큐는 현재 2019년 거래 현황도 파악중에 있다. 삼성 스마트폰 제로데이 취약점들이 올해는 얼마나 판매됐는지 상황을 파악 중이며 그 결과를 조만간 공개할 예정이다.

 

[PASCON 2019 컨퍼런스 개최]
하반기 최대 정보보안/개인정보보호 컨퍼런스 PASCON 2019
7시간 보안교육 이수 및 2020년 대비 보안실무 교육
-무료사전등록: https://www.dailysecu.com/form/register.html?form_id=1548736920

★정보보안 대표 미디어 데일리시큐!★