2016.09.30

"iOS 제로데이 익스플로잇 찾으면 150만 달러" 현상금 프로그램 등장

Michael Kan | IDG News Service
애플 IOS 소프트웨어를 노리는 제로데이 익스플로잇의 가치가 치솟고 있다. 목요일, 제로디움이라는 업체가 150만 달러를 현상금으로 내걸어 화제다. 제로디움은 지난해 원격으로 IOS 기기를 대상으로 한 제일브레이크 제로데이 익스플로잇에 100만 달러를 내건 바로 그 업체다. 이 때의 현상금은 일회성이었으며 2015년 11월에 수상자가 나타났다.

150만 달러로 대폭 오른 이번 현상금 역시 iOS 10을 타깃으로 한 원격 제일브레이크 익스플로잇을 대상으로 한다. 현상금은 일회성이 아니라 1년 기간을 뒀다. 제로디움은 구글 안드로이드 운영체제에 대한 유사 익스플로잇을 대상으로도 최대 20만 달러의 현상금 프로그램을 시작했다. 발견한 익스플로잇의 품질에 따라 금액이 달라진다.

제조업체들도 파악하지 못한 iOS와 안드로이드 플랫폼의 소프트웨어적 결함을 악용할 수 있으므로 제로데이 익스플로잇은 매우 가치가 높다고 평가된다. 그러나 애플과 구글이 계속해서 소프트웨어를 업데이트하고 있으므로 발견하기가 어려운 것도 사실이다.

제로디움 CEO 샤로키 베크라는 “iOS와 안드로이드의 보안 수준이 점차 높아져 포상금 금액을 크게 올렸다. 높은 현상금을 통해 고급 인력들의 활발한 참여를 이끌어내고 싶다”고 말했다. 제로디움은 일명 ‘사이버 무기상’이라 불리는, 제로데이 익스플로잇을 입수해 각국 정부 등 여러 클라이언트에게 원하는 익스플로잇을 제공하는 업체다. 예를 들어 익스플로잇은 범죄 대상의 스마트폰을 해킹하는 데 사용될 수 있다.

베크라는 트위터를 통해 “여러 개의 iOS 익스플로잇 체인을 발견할 경우 각각의 아이템마다 별도로 현상금을 지불할 것”이라고 공언했다.

제로디움은 다른 버그 바운티 프로그램, 심지어 제조사가 직접 내건 현상금 프로그램보다 훨씬 높은 상금을 제시하기로 유명하다. 한 예로 올해 애플은 9월 중 현상금 프로그램을 발표하면서 iOS에서 치명적인 취약점을 발견하면 20만 달러를 지급하겠다고 말했다. 애플의 경우 현상금 프로그램 참가 자격은 초대로만 주어진다. 애플은 다른 보안 업체도 참여할 수 있도록 논의할 것이라고 밝혔다. editor@itworld.co.kr 


2016.09.30

"iOS 제로데이 익스플로잇 찾으면 150만 달러" 현상금 프로그램 등장

Michael Kan | IDG News Service
애플 IOS 소프트웨어를 노리는 제로데이 익스플로잇의 가치가 치솟고 있다. 목요일, 제로디움이라는 업체가 150만 달러를 현상금으로 내걸어 화제다. 제로디움은 지난해 원격으로 IOS 기기를 대상으로 한 제일브레이크 제로데이 익스플로잇에 100만 달러를 내건 바로 그 업체다. 이 때의 현상금은 일회성이었으며 2015년 11월에 수상자가 나타났다.

150만 달러로 대폭 오른 이번 현상금 역시 iOS 10을 타깃으로 한 원격 제일브레이크 익스플로잇을 대상으로 한다. 현상금은 일회성이 아니라 1년 기간을 뒀다. 제로디움은 구글 안드로이드 운영체제에 대한 유사 익스플로잇을 대상으로도 최대 20만 달러의 현상금 프로그램을 시작했다. 발견한 익스플로잇의 품질에 따라 금액이 달라진다.

제조업체들도 파악하지 못한 iOS와 안드로이드 플랫폼의 소프트웨어적 결함을 악용할 수 있으므로 제로데이 익스플로잇은 매우 가치가 높다고 평가된다. 그러나 애플과 구글이 계속해서 소프트웨어를 업데이트하고 있으므로 발견하기가 어려운 것도 사실이다.

제로디움 CEO 샤로키 베크라는 “iOS와 안드로이드의 보안 수준이 점차 높아져 포상금 금액을 크게 올렸다. 높은 현상금을 통해 고급 인력들의 활발한 참여를 이끌어내고 싶다”고 말했다. 제로디움은 일명 ‘사이버 무기상’이라 불리는, 제로데이 익스플로잇을 입수해 각국 정부 등 여러 클라이언트에게 원하는 익스플로잇을 제공하는 업체다. 예를 들어 익스플로잇은 범죄 대상의 스마트폰을 해킹하는 데 사용될 수 있다.

베크라는 트위터를 통해 “여러 개의 iOS 익스플로잇 체인을 발견할 경우 각각의 아이템마다 별도로 현상금을 지불할 것”이라고 공언했다.

제로디움은 다른 버그 바운티 프로그램, 심지어 제조사가 직접 내건 현상금 프로그램보다 훨씬 높은 상금을 제시하기로 유명하다. 한 예로 올해 애플은 9월 중 현상금 프로그램을 발표하면서 iOS에서 치명적인 취약점을 발견하면 20만 달러를 지급하겠다고 말했다. 애플의 경우 현상금 프로그램 참가 자격은 초대로만 주어진다. 애플은 다른 보안 업체도 참여할 수 있도록 논의할 것이라고 밝혔다. editor@itworld.co.kr 


X