데일리시큐는 지난 9월 4일 <수억원에 판매되고 있는 삼성 스마트폰 제로데이 취약점…2018년에 5개 거래 확인돼>라는 제하의 기사를 통해 해외 제로데이 거래시장에서 삼성전자 스마트폰의 패치되지 않은 보안취약점이 다수 거래된 것을 보도한 바 있다. (삼성 제로데이 취약점 관련 기사 클릭)

KISA(김석환 원장) 버그바운티(취약점 신고 포상제도) 1년 예산은 2억 6천만원에 불과하다. 삼성전자(005930. 김기남 대표이사)도 자체 버그바운티를 실시하고 있지만 2017년 9월부터 지금까지 총 보상금액은 12억원 정도다.

반면 해외 제로데이 거래시장에서는 지난해 삼성 엑시노스(Exynos) 제로데이 취약점 1건이 50만달러, 우리 돈 약 6억원에 판매되었다. 이 취약점을 구매한 것이 해킹그룹인지 혹은 어느 나라 정부기관인지 알 수는 없지만 삼성 갤럭시 스마트폰 해킹에 사용할 목적으로 구매한 것으로 추정할 수 있다.

이 취약점을 구매하면 패치가 되기 전까지는 전세계에서 사용되는 삼성전자 갤럭시폰을 자유롭게 제어할 수 있기 때문에 취약점 1건 판매 가격이 6억원의 가치를 인정받고 있는 것이다. 만약 판매자가 해당 취약점을 각기 다른 구매자에게 3회 판매했다면 18억원을 벌어들이게 된다.

이런 이유 때문에 보안취약점을 찾는 전문 해커들은 정말 크리티컬한 취약점에 대해서는 삼성 버그바운티에 내 놓지 않는 다는 것이다. 따라서 삼성, LG 등 국내 기업들과 국가기관들은 해외 제로데이 거래 시장에서 어떤 일들이 벌어지는지 정보를 수집하고 발 빠르게 대응해야 자사 제품 사용자를 보호할 수 있다.

2019년, 삼성 스마트폰 제로데이 판매 더욱 증가해

한편 지난 기사에서 밝힌 바와 같이, 데일리시큐는 보안기업 POC Security(피오시 시큐리티)의 도움을 받아 2019년 삼성전자 스마트폰 제로데이 취약점 판매현황을 조사했다.

신뢰할 수 있는 해외 제로데이 판매자를 통해 입수한 정보의 결과이며, 이외 우리가 확인할 수 없는 판매자들도 많기 때문에 실제 거래된 건수와 내용은 더 많을 것으로 추정된다.

확인결과, 2019년 들어 삼성전자 스마트폰 제로데이 취약점 거래가 더욱 증가한 것으로 나타났다.

해외 제로데이 판매처에 따르면, 올해 1월부터 8월말까지 10개의 삼성 스마트폰 제로데이 취약점이 거래됐다고 밝혔다.

현재 제로데이 마켓에서는 엑시노스(Exynos) 칩셋의 취약점으로 인한 크롬 및 삼성 브라우저를 통한 커널 LPE 취약점은 1회 판매가가 60만달러(한화 7억원 이상)에 거래되고 있다.

이 취약점에 대한 정보의 일부 내용을 보면 안드로이드 7, 8, 9 버전 모두 취약하고, 해커가 테스트한 삼성 스마트폰 목록도 나와 있다. 더욱이 비독점 가격이 60만달러라는 점이다. 초기에 형성됐던 독점구매 가격은 더욱 높았을 것으로 추정된다. 삼성이 버그바운티로 제공하는 금액과는 너무 큰 차이를 보이고 있다. (비독점은 하나의 취약점을 여러 구매자에게 판매하는 것. 독점은 하나의 취약점을 하나의 고객에게만 판매하는 것. 따라서 독점 거래 가격이 더욱 높게 책정됨)

한편 올해 5월에는 갤럭시 S9의 LPE 취약점이 40만달러(한화 4억7천만원 이상)에 거래되었고, 삼성 스마트폰을 포함해 최신 안드로이드 9.x 버전에 적용되는 KASLR 우회 취약점도 거래 되고 있으며, 최근 8월에는 삼성 갤럭시 S10의 취약점이 50만달러(한화 약 6억원)에 거래되고 있다. 모두 비독점 거래 가격이다. 판매자(취약점을 찾은 해커) 입장에서는 삼성전자 스마트폰 취약점 2개만 팔아도 서울 아파트 한 채를 살 수 있는 돈을 벌 수 있는 것이다.

판매 측에 따르면, 이 취약점은 공격 성공률이 99%에 이르며 공격 신뢰도도 높아 한 번의 시도에 공격을 성공할 수 있다고 전했다. 물론 이 공격은 갤럭시 S10뿐만 아니라 구글의 Pixel 시리즈와 샤오미 Mi9도 이 공격에 취약한 것으로 나타났다.

문제는 해커들이 확실한 제어권 획득과 공격이 즉시 가능한 제로데이 취약점을 찾았을 때 현재로는 삼성전자 버그바운티에 제보하기 보다는 더 많은 비용을 받을 수 있는 제로데이 마켓에 내 놓고 있다는 점이다. 삼성전자가 지금까지 100만달러(한화 약 12억원)를 버그바운티 비용으로 지불했다지만 해외 제로데이 취약점 마켓에서 비독점으로 몇 번만 거래해도 100만달러는 넘게 벌 수 있는 상황이기 때문이다.

더 큰 문제는 공개되지 않은 시장에서 암암리에 거래되고 있기 때문에 삼성전자가 정보수집을 하지 않으면 어떤 제로데이 취약점들이 판매되고 있는지 파악할 수 없다는 점이다. 즉 패치를 할 수 없기 때문에 계속해서 제로데이 취약점 상태로 남게 되고 패치가 되지 않으면 제로데이 공격은 삼성전자 스마트폰 사용자들에게 심각한 피해를 초래하게 된다. 특히 한국 정부 입장에서는 군이나 정보기관 그리고 정부 요직의 인사들이 삼성전자 스마트폰을 사용하고 있다면 해킹 위험에 무방비로 노출되는 것이기 때문에 심각한 문제가 아닐 수 없다.

즉 삼성전자는 자체 버그바운티를 활용해 취약점 정보를 수집하는 것도 당연히 필요하지만 해외에서 실제 거래되고 있는 자사 제로데이 취약점 거래 정보 확보에도 보다 적극적인 투자를 해야 한다. 특히 제로데이 마켓에서 상상을 초월하는 금액으로 독점거래되고 있는 제로데이 취약점은 파악하기가 쉽지 않다. 이런 정보에 대한 삼성전자 측의 정보수집 노력은 반드시 필요한 상황이다.

데일리시큐는 앞으로도 지속적으로 해외에서 거래되는 제로데이 취약점 거래 현황에 대해 조사한 결과를 발표할 예정이다.

[PASCON 2019 개최]
·하반기 최대 정보보안/개인정보보호 컨퍼런스 PASCON 2019
·7시간 보안교육 이수 및 2020년 대비 보안실무 교육
·공공,기업 개인정보보호 및 정보보안 실무자라면 누구나 무료 참석
-무료사전등록: 클릭

★정보보안 대표 미디어 데일리시큐!★