한국일보>

박재현 기자

등록 : 2017.04.15 04:40

‘보안 취약점’ 가격 급등… 화이트해커 신세계 열리다

[사이버 금맥 캐는 화이트해커]

등록 : 2017.04.15 04:40

#1

伊 보안업체 ‘해킹팀’ 해킹으로

수억대의 암거래가격 실상 드러나

보안 프로그램으로 탐지 불능

‘제로데이 취약점’이 시장 키워

#2

취약점 정보는 방패이자 무기

기업ㆍ각국 정보기관 구매 열올려

범죄 집단에 넘어가면 재앙 우려

몇 년 전만 해도 스스로의 '성취'를 위해 보안취약점을 찾아헤맸던 화이트해커의 몸값이 최근에는 나날이 치솟고 있다. 신상순 선임기자

영국의 22세 청년 나타니엘 웨익램은 연 평균 2억8,000만원의 소득을 올린다. 매일 출근하는 직장은 없다.

그가 하루종일 하는 일은 집이나 카페에서 노트북을 펴놓고 구글과 애플, 미국 정부 네트워크의 보안상 취약점을 찾아내는 것. 일명 화이트해커(White-hat hacker)다. 웨익램이 네트워크 시스템을 뚫어 각종 비밀자료를 훔쳐내 팔거나 테러에 이용하는 블랙해커(Black-hat hacker)와 다른 점은, 보안 취약점을 범죄집단이 아닌 해당 기업과 정부에 먼저 알려준다는 점이다. 자신의 일상을 영국 일간지 가디언에 공개한 지난해 8월, 이런 식으로 그 달에만 벌어들인 보상금이 2,300만원에 달했다.

천재 해커로 불리는 구글 프로젝트제로팀(전세계 프로그램과 인터넷 사이트의 취약점을 찾는 연구팀)의 이정훈(24)씨는 2015년 모바일 기기의 보안 취약점을 찾아내는 폰투오운(Pwn2Own) 대회에서 해킹 대회 사상 최대 상금인 2억5,000여만원을 거머쥐었다. 2016년에는 같은 대회에서 1억6,800만원의 상금을 받아 이 대회에서만 2년간 약 4억2,000만원의 수입을 올렸다.

해킹의 암거래 가격이 공개되다

사이버 세계의 성배(聖杯)를 찾아나선 현대판 인디애나 존스, 화이트해커의 신세계가 열리고 있다. 이들이 찾는 성배는 프로그래머가 꽁꽁 숨겨놓은 보안 취약점. 철통 보안을 뚫고 해킹에 성공한다는 것은 과거 화이트해커들에겐 명예로운 성취에 그쳤지만, 이제는 억대 연봉이 가능한 시장이 형성되고 있다. 디도스(DDoS) 공격, 군사기밀 유출, 익명의 해커그룹 어나니머스 활동 등 해킹 사례가 크게 늘어난 2010년쯤부터 화이트해커와 정부ㆍ기업 간 거래가 활발해지기 시작해 건당 보상금이 수억원까지 치솟은 결과다. 김승주 고려대 사이버국방학과 교수는 웨익램처럼 전문적으로 취약점 보상금(Bug bounty)을 노리는 화이트해커를 ‘현상금 사냥꾼(Bounty hunter)’이라고 표현했다.

화이트해커 시장이 급성장한 계기는 2015년 우리나라 국가정보원이 거래한 사실이 드러났던, 이탈리아 보안업체 ‘해킹팀’에 대한 해킹이었다. 해킹팀이 ‘피니스 피셔(Phineas Fisher)’라는 블랙해커에게 해킹을 당해 400기가바이트 분량의 기밀자료가 유출되면서 국정원이 8억5,000여만원을 주고 해킹팀으로부터 ‘갈릴레오’라는 해킹 프로그램을 구매한 기록도 공개됐다. 유출된 자료에는 각국 정보기관이 얼마를 주고 이런 프로그램을 구매했는지, 해킹팀이 해커들에게 얼마에 취약점을 사들였는지 등의 기록이 포함됐다. 러시아의 화이트해커 블라드 치르클레비치에 따르면 해킹팀이 뷔펜, 네트라가드 등 해킹기술 연구업체들로부터 사들인 취약점의 가격은 개 당 3,700만원에서 1억4,000만원에 달했다. 김 교수는 “은밀하게 거래되던 취약점의 가격이 낱낱이 공개되면서, 화이트해커들이 자신의 몸값을 알게 된 순간이었다”고 말했다. 국내 여러 화이트해커 대회 수상경력을 가진 화이트해커 박모(27)씨는 “블랙마켓 사정을 어느 정도 예상은 했지만 거래현황을 눈으로 본 건 처음이었다”고 작은 충격을 느꼈던 당시를 전했다.

2014년 이탈리아 해킹팀으로부터 우리나라 국가정보원이 구매한 해킹 프로그램인 갈릴레오의 유지보수 비용 청구서.연간 6만7,700유로의 유지보수비 중 절반인 3만3,850유로(한화 약 4,085만원)를 2월 국정원으로 알려진 국군 5163부대에 청구한 기록이 피니스 피셔라는 해커에 의해 유출됐다. 한국일보 자료사진

억대 현상금 사냥 나선 해커들

몇 년 전만 해도 화이트해커들은 보상금에 연연하지 않았다. 기업들이 실제로 제공한 보상도 적었다. 2013년 스위스 보안기업 하이테크브리지 소속 화이트해커들이 전세계 8억명의 사용자를 보유한 야후 이메일의 취약점을 밝혀냈는데, 그 보상은 티셔츠 한 장 구매할 수 있는 1만4,000원짜리 야후 마켓 상품권이 전부였다. 인터넷 브라우저 회사인 넷스케이프도 1995년부터 버그 바운티 제도를 운영했지만 당시 보상은 티셔츠와 머그컵이 전부였다.

지금은 사정이 다르다. 인터넷 검색포털 구글이 2011년에 7억원을 지급하며 시작한 버그 바운티 프로그램은 2016년 보상금 규모가 35억여원까지 5배 증가해 지금까지 지급한 총액이 100억원을 돌파했다. 페이스북도 지금까지 화이트해커에게 지급한 총 보상금이 57억원이 넘는다. 2013년 데프콘 대회에서 3위를 차지했던 화이트해커 신동휘 스틸리언 이사는 “화이트해커들에게 인정 기회를 제공해 스스로 동기부여가 되도록 한다는 점에서도 버그 바운티 제도가 긍정적인 효과를 거두고 있다”고 말했다.

제로데이 취약점(Zero-day Vulnerability)은 현상금의 규모를 키우는 주요인이다. 제로데이 취약점이란 현존하는 보안 프로그램으로는 아예 탐지가 불가능한 결함을 가리킨다. 바이러스 백신으로 탐지조차 할 수 없기 때문에 일단 제로데이 취약점만 뚫고 나면 해커들은 컴퓨터, 휴대폰, 태블릿PC 등을 자유자재로 드나들며 농락한다. 국정원이 구매했던 갈릴레오 프로그램도 컴퓨터에 설치되면 제로데이 취약점을 뚫어 인터넷, 이메일, 파일 등을 감시할 수 있고, 스마트폰에 설치되면 통화와 문제 메시지, 위치추적 등이 가능하다. 2014년 있었던 한국수력원자력 해킹 사고 때도 블랙해커들은 ‘한글 워드프로세서(HWP)’의 제로데이 취약점을 통해 자료를 빼왔고, 2013년 이란 원자력발전소에 들어가 시설을 파괴한 악성코드 ‘스턱스넷’도 4개의 제로데이 취약점을 이용한 해킹 사고였다. 보안에 치명적 위협인 만큼 제로데이 취약점의 가격은 높다. 제로데이 취약점 유통기업 제로디움(Zerodium)은 프로그램별 취약점에 대한 구매가격을 공표하고 있는데 애플 iOS 취약점의 제안가는 16억원에 달한다. 최우석 정보보호교육센터 선임연구원은 “취약점의 기술이 고급일수록, 희귀할수록 가격이 천정부지로 치솟는다. 또 날짜와 상황에 따라서 가격 변동이 심하다”고 설명했다.

미래의 강력한 무기이자 방어책

제로데이 취약점은 미래에 강력한 무기로 돌변할 수 있다. 인터넷에 한번이라도 연결됐거나 USB 등을 통해 외부와 접촉한 적이 있다면 국가 기반시설, 군사안보 시스템이 제로데이 취약점을 통해 무력화될 수 있다. 제로데이 취약점이 범죄집단으로 넘어갈 경우 미사일 한방 쏘지 않고 컴퓨터 원격제어만으로 재앙이 발생할 수 있는 것이다.

각국 정보기관들이 블랙마켓과 전문 브로커 등을 통해 제로데이 취약점과 이를 뚫을 수 있는 해킹 프로그램 구매에 적극적인 이유도 이에 대비하기 위해서다. 해킹팀의 갈릴레오를 구매한 곳은 37개국 67개 기관이나 된다. 대부분은 국가 정보기관이다. 멕시코에서는 11개 기관이 72억8,000여만원을 지불했고 미국도 연방수사국(FBI)을 비롯해 3개 기관에서 17억5,000만원에 프로그램을 구매했다. 최 선임연구원은 “국제 보안 컨퍼런스에서는 브로커들이 기업을 대상으로 제로데이 취약점 팸플릿까지 뿌린다”며 “정보기관들은 유명 브로커들에 접촉해 주기적으로 제로데이 취약점을 확보한다”고 말했다.

미국 상무부는 취약점 정보를 무기로 보고 수출에 제동을 걸었다. 2013년에 전략무기ㆍ기술 통제 협정인 바세나르 체제(Wassenaar Arrangement)에서 제로데이 취약점을 이용한 프로그램을 수출할 경우 정부 허가를 받도록 추진해 한국 미국을 포함한 41개국이 이에 서명했다. 일각에선 미국의 적극적인 수출통제조치가 이탈리아 해킹팀을 통해 휴대폰과 이메일 도ㆍ감청 기술이 적국으로 흘러 들어간 사태가 반복되지 않도록 하기 위한 것이라는 시각도 있다.

전세계 시장이 80조원으로 추산되는 보안기술의 전장(戰場)에서 블랙해커와 화이트해커는 사실상 같은 무기로 전쟁을 치른다. 취약점 정보는 강력한 무기이자 최선의 방어수단이다. 그것이 창이 될지 방패가 될지는 누가 먼저 발견하느냐에 달려있을 뿐이다. 전세계가 하나의 사이버세계로 통합되고 있는 지금, 사이버세계의 성배에 담긴 것은 성수(聖水)일까, 독일까. 화이트해커의 손에 그 여부가 달렸다.

박재현 기자 remake@hankookilbo.com

저작권자 © 한국일보 무단전재 및 재배포 금지

한국일보 페이스북

한국일보 트위터

한국일보닷컴 전체기사 RSS

RSS

한국일보닷컴 모바일 앱 다운받기

앱스토어구글스토어

한국일보닷컴 서비스 전체보기

Go

뉴스 NOW

이전

  • 종합
  • 정치
  • 사회
  • 경제
  • 국제
  • 문화
  • 연예
  • 라이프
  • 스포츠

다음

미국선 의회 정보위ㆍ예결위ㆍ군사위서 정보기관 예산 ‘중첩 통제’
[단독] “MB 청와대 비서관에 매월 특활비 200만원 상납”
통합론 내홍 심화… 국민의당 최저 지지율 또 찍어
[민원에도 에티켓이 있다] 신분증 요구했다 머리채 잡힌 상담사
품귀 ‘평창 롱패딩’ 구매 22일 마지막 기회…어디서 살 수 있나?
40년 뒤 국민연금, 수명 길어져 2년치 연봉 더 받을듯
'호주 어린이 수면제 먹이고 성폭행'…워마드 글 논란

오늘의 사진

많이 본 뉴스

  • 1
  • 2