제로 데이 악용 시장

Market for zero-day exploits

제로 데이 악용 시장소프트웨어 악용 거래 주변에서 일어나는 상업 활동을 말한다.

소개

소프트웨어 취약성과 "폭발물"은 저장된 정보와 생성된 정보를 실시간으로 모두 원격으로 액세스하기 위해 사용된다. 오늘날 대부분의 국가에서 그렇듯이 대부분의 사람들이 동일한 소프트웨어를 사용할 때, 인터넷 콘텐츠와 서비스 제공업체의 독점적 성격을 고려할 때, 한 가지 특정한 취약성을 수백만 명이 아니더라도 수천 명에게 사용할 수 있다. 이런 맥락에서 범죄자들은 그러한 취약성에 관심을 갖게 되었다. McAfee 전략국제문제연구소의 2014년 보고서에 따르면 사이버 범죄와 사이버 스파이 활동에 드는 비용이 연간 약 1,600억 달러에 이른다고 한다.[1] 전세계적으로, 국가들이 이 문제를 다루기 위해 공공기관을 임명했지만, 그들은 범죄를 예방하기 위해 사람들의 정보에 접근하기 위한 그들 자신의 정부의 이익과 충돌할 것 같다.[2] 결과적으로, 국가 보안 기관과 범죄자들 모두 사용자와 원래 개발자 모두에게 특정한 소프트웨어 취약점을 숨기고 있다. 이러한 유형의 취약성은 제로 데이 공격이라고 알려져 있다.

학계와 정규 언론에서는 제로 데이 위업 규제에 대해 많은 이야기가 오갔다. 그러나 제로 데이 악용에 대한 정의는 대부분 특정 소프트웨어를 사용한 후에만 악성코드로 사용할 수 있기 때문에 다소 모호하거나 적용되지 않기 때문에 합의에 도달하기가 매우 어렵다.[2] 또 제로 데이 공시를 의무화할 수 있는 규제를 막을 수 있는 국가 운영 내에서도 이해충돌이 빚어지고 있다. 정부는 한편으로는 민간 기업에 대한 취약성 보고를 통해 시민의 프라이버시를 보호하고, 다른 한편으로는 공공의 보안을 위협하는 타겟이 사용하는 통신 기술을 훼손하는 것 사이에서 절충에 직면해 있다.[3] 기업과 대중 모두에게 알려지지 않은 소프트웨어 취약성의 착취를 통한 국가 보안 보호는 보안 기관의 궁극적인 자원이지만 범죄 조직을 포함한 제3자가 동일한 자원을 이용할 수 있기 때문에 모든 사용자의 안전을 위태롭게 할 수도 있다.[4] 따라서 사용자와 민간 기업만이 제로 데이 악용과 관련된 위험을 최소화할 동기를 부여하고, 전자는 프라이버시 침해를 피하기 위해, 후자는 데이터 침해 비용을 줄이기 위해 인센티브를 부여한다. 여기에는 법적 프로세스, 소프트웨어의 원래 취약성을 수정하거나 "패치"하기 위한 솔루션 개발과 관련된 비용 및 제품에 대한 고객의 신뢰 상실과 관련된 비용이 포함된다.[5]

설명

애블론, 리비키, 골레이는[6] 제로데이 시장의 내공을 크게 설명해 왔다. 주요 결과는 상품, 통화, 시장, 공급 및 수요의 다섯 가지 요소로 구분할 수 있다. 이러한 요소들과 가격과의 관계가 설명될 것이다. 시장의 특성(예: 흰색, 회색, 검은색)과 그 규제 또는 결여를 이해하는 것이 가장 중요하기 때문에 수요 구성요소에 부여된 정의도 도전 받을 것이다.

상품

악용이란 디지털 상품으로, 한계 생산비가 거의 0에 가까운 정보재라는 뜻이다.[7] 그러나 그것들은 비정형적인 정보 상품이다. 전자책이나 디지털 영상과 달리 복제하기 쉬워 가치를 잃지 않지만 일단 노출되면 원 개발자가 취약점을 '패치'해 상품 가치가 낮아진다. 이 값은 두 가지 이유로 0이 되지 않는다. (1) 패치의 분포는 비대칭이며, (2) 개발자는 원래의 버그를 사용하여 감소된 비용으로 변형을 만들 수 있다. 그것들은 또한 시간에 민감한 상품이기 때문에 비정형적이다. 회사들은 정기적으로 소프트웨어를 업데이트하고 있으며 패치는 버전 사이에 경과되는 동안에만 유용하다. 때로는 외부 보고서 없이도 취약성을 수정할 수 있다. 셋째, 기밀 거래에서도 이용 자체가 이용자 엔드에 장애를 일으켜 취약성을 노출시키고 그 가치를 상실하게 할 수 있다. 이런 의미에서, 공적은 배제될 수 없지만, 그들은 비경쟁적일 수도 있고 없을 수도 있다.

통화

대부분의 경우, 거래는 일반적으로 거래소와 관련된 당사자 중 적어도 한 사람의 신원을 보호하기 위해 설계된다. 이는 시장의 유형(백색 시장은 추적 가능한 돈을 사용할 수 있음)에 따라 달라지지만, 대부분의 구매는 도난당한 디지털 펀드(신용카드)가상화폐로 이루어진다. 최근 몇 년간 후자가 우세한 추세였지만 해킹팀의 이메일 아카이브 유출에서 보듯 회색시장의 가격은 달러로 책정돼 있다.[8]

마켓플레이스

주요 기사: 사이버 암산업

전형적으로, 불법 무기나 마약과 같은 암시장은 거래, 문서 위조, 금융 이전, 불법 운송 등의 거래를 수행하기 위해 신뢰할 수 있는 많은 당사자들의 네트워크를 요구한다. 이들 네트워크 내에서 어떤 법적 합의를 강제하는 것이 매우 어렵기 때문에, 많은 범죄 단체들은 집에서 가까운 회원들을 모집한다.[9] 이러한 근접요소는 초국가적인 거래에 더 많은 중개자가 요구됨에 따라 거래원가를 증가시켜 원매도자의 전체 이익을 감소시킨다.

반면 제로데이는 가상제품으로, 이용 가능한 기술이 매우 저렴한 비용으로 익명성을 제공할 수 있을 정도로 강하기 때문에 인터넷을 통해 중개자 없이도 쉽게 판매할 수 있다. 중개인이 필요하더라도 '유휴 데이터 노리개'를 활용해 위법행위의 증거를 피할 수 있다.[10] 암시장이 회색시장과 비교해 수익성이 좋은 이유다. 국가안보를 담당하는 공공기관과의 거래가 수반되는 회색시장은 통상 제3자의 거래 흔적을 감추기 위해 제3자를 활용하도록 하고 있다. 예를 들어 해킹팀 자료실에는 에콰도르 국가정보국(National Secretary of Intelligence)과 로보텍(Robotec)과 테올라(Thola)라는 두 중개인을 사용한 것으로 추정되는 계약서가 들어 있다. 같은 기록관에서는 제3자 회사인 키콤과 로보텍이 각각 FBI와 DEA를 대신해 계약을 협상했다고 한다.[11] 화이트마켓이 거래를 숨기는 것이 그들에게 이익이 되지 않는 것과 같은 문제에 직면할 가능성은 적지만, 기업들이 그들의 새로운 패치의 사용을 적극적으로 홍보하기 때문에 그것은 정반대다.

공급

공급망은 복잡하고 계층별로 조직된 복수의 행위자를 포함하는데, 관리자가 맨 위에 앉고 기술 전문가가 그 뒤를 따른다. 다음은 정교해질 수도 없고 정교해질 수도 없는 중개업자, 중개업자, 판매업자, 그리고 마침내 노새들이 뒤따른다. 이 명령 계통 안에서 여러 가지 상품을 찾을 수 있다. 제로 데이 위업은 주제 전문가에 의해서만 "발견"되거나 개발될 수 있는 반면, 다른 위업들은 암시장에 기꺼이 진입하려는 거의 모든 사람들에 의해서 쉽게 상품화될 수 있다. 여기에는 두 가지 이유가 있다. 첫째, 일부 기기는 구식 또는 구식 소프트웨어를 사용하며 그렇지 않으면 완전히 무용지물이 될 수 있는 악용에 의해 쉽게 표적이 될 수 있다. 둘째, 이러한 「반나절의 위업」[12]은 그래픽 인터페이스를 통해 사용할 수 있고, 자유롭게 이용할 수 있는 튜토리얼을 통해 학습할 수 있는데, 이는 판매자로서 시장에 진출하기 위한 전문지식이 거의 필요하지 않다는 것을 의미한다.

제로 데이와 반나절 시장의 공존은 개발자들이 더욱 정교한 종말을 향해 계속 나아가기 때문에 암시장의 회복력에 영향을 미친다. 높은 조직범죄에 대한 테이크다운은 증가했지만, 공급자들은 피라미드의 하위 계층의 사람들로 쉽게 대체된다. 쉽게 수개월을 버틸 수 있는 테이크다운(Take-down) 작업 후 새로운 제공업체를 찾는 데는 하루도 안 걸릴 수 있다.

그러나 정상에 오르기 위해서는 개인적인 인맥과 좋은 평판이 필요한데, 이 점에서 디지털 암시장은 물리적 암시장이나 다를 바 없다. 반나절 동안의 공적은 보통 더 쉽게 접근할 수 있는 장소에서 거래되지만 제로 데이에는 종종 "이중 블라인드" 경매와 법 집행을 피하기 위해 여러 층의 암호화를 사용해야 한다. 이것은 포럼이나 게시판에서는 할 수 없기 때문에 이러한 거래는 극도로 조사된 공간에서 발생한다.

수요

누가 제로 데이 공적을 사느냐가 우리가 다루고 있는 시장의 종류를 규정한다. 애피들러는[4] 하버드 경영대학원에서 시장규모화 방법론에 따라 백색, 회색, 암시장을 가이드로 차별화한다. 여기서 그들은 백색시장과 회색시장과 암시장을 구분한다.

화이트마켓은 원래 개발자가 보안 연구자에게 취약점을 보고한 것에 대해 포상하는 시장이다. 2014년까지 평균적으로 보고된 가격은 1만 달러 미만이었지만, 영향을 받는 소프트웨어의 종류, 중요성 및 특성에 따라 특정 취약점에 대해 최대 10만 달러까지 특별 제공이 이루어졌다.[13] 지난 10년간 마이크로소프트, 애플, 어도비 취약점의 14%가 화이트마켓 프로그램을 통해 나왔다.[14]

범죄자들은 암시장에서 구매하지만 정부는 암시장에서 그들의 제안이 충족되지 못하거나 국제규제로 인해 제로 데이 취득에 장애가 될 경우 때때로 구매자가 될 수 있다. 해킹팀은 웹사이트를 통해 "미국, EU, 유엔, 나토, 아세안(ASEAN)이 블랙리스트에 올린 국가나 정부에는 제품을 판매하지 않는다"고 명시했다. 가격은 일반적으로 이 시장에서 백색 시장과[6] 비교하여 10-100배 높으며 이는 구매자의 위치에 따라 변동한다. 미국은 최고의 가격이 제공되는 곳이다. 미국의 경우 쿠바나 북한처럼 특정 지역에서 판매가 허용되지 않는 잠재적 판매자들은 암시장에서도 영업할 가능성이 높다.

회색 시장 구매자에는 취약점을 재판매하는 민간 부문 고객, 정부 및 브로커 등이 포함된다. 이들 시장에 관한 정보는 통상 안전 목적으로 가격이 조정되는 정부의 기밀정보 요청과 국가보안기관과 민간기업(즉, 핀피셔와 해킹팀)으로부터 유출된 정보를 통해서만 입수할 수 있다.

티르클레비치는 해킹팀이 한 거래에 대해 보고했다.[8] 현재까지, 이것은 회색 시장의 내부 작업에서 이용할 수 있는 최선의 증거를 나타낸다. 그러나 이러한 절차 중 일부는 백색시장과 암시장 모두에 적용되는 경우가 될 가능성이 높다.

구매자는 시험, 납품 및 수용과 관련된 표준 기술 구매 관행을 따른다. 구매자와 판매자 사이에 정보 비대칭성이 존재한다고 본질적으로 전제된 제품을 구입할 때 보증과 요건 협상이 필요하게 된다. 새로운 대상에 대한 지원을 추가하는 것은 불가능하거나 노력을 기울일 가치가 없을 수 있기 때문에, 타겟 소프트웨어 구성과 같은 요구사항은 사전에 협상하는 것이 중요하다. 마찬가지로 구매자에 대한 보증 조항도 일반적이어서 정해진 기간에 걸쳐 지급을 분양하고 그 기간이 끝나기 전에 취약점을 패치하면 조기 지급을 종료함으로써 위험을 최소화할 수 있다. 대금은 일반적으로 0일 간의 착취 행위가 전달되고 요구 사항에 대한 테스트를 거친 후에 지급되므로 판매자는 구매자가 선의로 행동할 수 있도록 신뢰해야 한다. 마찬가지로, 공적을 구매하는 구매자는 판매자가 독점적으로 판매되는 경우 취약점을 노출하거나 다른 사람과 공유하지 않도록 신뢰해야 한다.

Vlad Tsyrklevich, Hacking Team: a zero-day market case study, https://tsyrklevich.net/2015/07/22/hacking-team-0day-market/

논란

전형적으로 회색 시장에 반대하는 당사자들은 시장에서 그 상품의 수익과 명성을 손상시키기 때문에 그것의 소매상들이다. 그 결과, 그들은 보통 원래의 제조자에게 배급의 공식 채널을 조정하도록 압력을 가한다. 국가는 또한 법 위반의 경우 처벌을 집행하는 중요한 역할을 한다. 그러나 제로 데이 착취 시장은 비정형적이고 운영방식은 암시장의 작용에 가깝다. 제로 데이 소매상이라고 볼 수 있는 브로커와 현상금 프로그램은 서로 다른, 그리고 종종 익명의 배우들에 의해 독자적으로 발견되기 때문에 "나쁜" 원조 제작자들에 대한 통제권이 전혀 없다. 백색시장과 회색시장으로 인한 리스크가 훨씬 적은 만큼 유통채널을 바꾸는 것은 이들의 관심사가 아니다.

회색 시장을 제한하기 위해 원래 제조업체의 노동력을 대개 보완하는 주들은 제로 데이 시장에서 다른 역할을 한다. 그들은 공적을 정기적으로 구입하기 때문이다. 정보보안의 비밀성을 감안할 때 소프트웨어 취약성에 관한 정보를 공개하는 것은 이들의 관심사가 아니며, 이 경우 기기에 침투하여 특정 대상의 정보를 획득하려는 범법자들의 관심사와 일치한다. 이런 '나쁨'의 소비자로서 정보기관의 존재는 합법적인 시장이 암시장 판매자에게 협상력을 제공하기 때문에 제로 데이 가격을 더욱 높일 수 있다는 주장이 제기될 수 있다.[5]

마지막으로, 민간 기업들은 그들의 보상 가격을 회색과 암시장에서 도달한 수준으로 올리기를 꺼리고 있다. 그들은 방어적인 시장에는 지속 가능하지 않다고 주장한다.[15] 이전 연구에서는 사내 보안 연구원을 채용하는 것에 비해 보상 프로그램이 민간 기업에 더 비용 효율적인 것으로 나타났지만,[16] 포상금이 계속 증가한다면 더 이상 그렇지 않을 수 있다.

2015년 '고위험 취약점' 획득에 초점을 맞춘 신규 창업기업 제로디움이 새로운 보상 프로그램을 발표했다. 그들은 취약성 제출에 필요한 형식, 가격 결정 기준, 즉 영향을 받는 소프트웨어의 인기와 복잡성, 제출된 착취의 품질, 그리고 가격 자체를 발표했다. 이것은 전통적인 취약성 보상 프로그램이 제공하는 투명성과 회색과 암시장에서 제공하는 높은 보상의 혼합을 나타낸다.[17] 소프트웨어 개발 회사들은 이 새로운 접근법을 위협으로 인식했는데, 그 주된 이유는 매우 높은 현상금이 개발자와 테스터 직원들이 그들의 일상 업무를 그만두게 할 수 있기 때문이다.[15] 그러나 시장에 미치는 영향은 아직 정의되지 않았다.

NSA는 제로데이 취약점을 매입해 비축하고, 이를 비밀로 유지하며 패치 취약점을 돕는 대신 공격력을 주로 개발했다는 비판을 받았다.[18][19][20][21]

참고 항목

참조

  1. ^ 손실, N. (2014). 사이버 범죄의 글로벌 비용 추정. McAfee, Strategic & International Studies Center for Strategic & International Studies.
  2. ^ Jump up to: a b Bellovin, S. M, Blaze, M, Clark, S, & Landau, S. (2014). 합법적 해킹: 인터넷 도청에 기존의 취약점을 이용하는 것. NW. J. 테크 & 인텔. 소품, 12, I.
  3. ^ 최, J. P., Fershtman, C, & Gandal, N. (2010) 네트워크 보안: 취약성 및 공개 정책*. 산업경제학 저널, 58(4), 868-894.
  4. ^ Jump up to: a b 애피들러, M, 그래닉, J, & 크렌쇼, M. (2014) 무정부 상태 또는 규정: 제로 데이 취약점에서의 글로벌 거래 통제(의사논문, 석사논문) 스탠포드 대학교, URL: https://stacks.stanford.edu/file/druid:zs241cm7504/Zero-Day%20Vulnerability%20Thesis%20by%20Fidler.pdf).
  5. ^ Jump up to: a b 래디언티, J, 리치, E, & 곤잘레스, J. J. (2009년, 1월) 취약성 암시장: 경험적 근거 및 시나리오 시뮬레이션. 2009년 시스템 과학에서. HICSS'09. 제42회 하와이 국제회의 (pp. 1-10) IEEE.
  6. ^ Jump up to: a b 애블론, L, 리비키, M. C. & Golay, A. A. (2014) 사이버 범죄 도구 및 도난 데이터 시장: 해커스 바자회. 랜드 코퍼레이션.
  7. ^ 샤펠, H. W., 기마아레스, P. & 데메트 외즈튀르크, O. (2011년) 인터넷 독점자의 고백: 버전 정보 상품에 대한 수요 추정. 경영 및 의사결정 경제학, 32(1), 1-15.
  8. ^ Jump up to: a b 티르클레비치, V. (2015년 7월 22일) 해킹팀: 제로 데이 시장 사례 연구. https://tsyrklevich.net/2015/07/22/hacking-team-0day-market/에서 2015년 10월 20일 검색
  9. ^ 킨셀라, D. (2006년) 작은 팔의 암시장: 소셜네트워크를 살펴보는 것. 현대 보안 정책, 27(01), 100-117.
  10. ^ Appelbaum, J., Gibson, A., Guarnieri, C., Muller-Maguhn, A., Poitras, L., Rosenbach, M., & Schmundt, H. M. Sontheimer, "The Digital Arms Race: NSA Preps America for Future Battle", Spiegel Online, January 2015.
  11. ^ 곤잘레스, E. (2015년 7월 30일). 설명자: 해킹 팀의 미주 지역 도달. http://www.as-coa.org/articles/explainer-hacking-teams-reach-americas-0에서 2015년 12월 4일 검색
  12. ^ 반나절 공격(일일 또는 이틀 공격이라고도 함)은 소프트웨어 작성자가 취약성을 알고 패치를 사용할 수 있는 공격이지만 이러한 패치를 인식하고 구현하는 사용자는 거의 없다.
  13. ^ Imilbendorfer, T, & Frei, S. (2009) 자동 업데이트로 보안이 강화되는 이유 TIK, ETH 취리히, 테크. 의원님, 302.
  14. ^ Fidler, Mailyn. "Regulating the Zero-Day Vulnerability Trade: A Preliminary Analysis". I/S: A Journal of Law and Policy for the Information Society.
  15. ^ Jump up to: a b Hackett, R. (2015년 9월 21일). 프리브레이크는 100만 달러짜리 아이폰 해킹을 원했다. 2015년 12월 5일 회수
  16. ^ 피니프터, M, 아크하위, D, & 바그너, D.(2013, 8월) 취약성 보상 프로그램에 대한 경험적 연구 USENIX Security (Vol. 13).
  17. ^ 같은 해 11월 이 회사는 iOS9 착취에 대한 보상으로 100만 달러를 지불했다고 발표했지만, 그러한 보도의 진실성에 대한 회의적인 시각이 팽배하다. 제로듐은 원래 개발자들과 함께 일하지 않으며 iOS9 착취 혐의에 대해서는 아직 구체적으로 밝히지 않고 있다.
  18. ^ Schneier, Bruce (24 August 2016). "New leaks prove it: the NSA is putting us all at risk to be hacked". Vox. Retrieved 5 January 2017.
  19. ^ "Cisco confirms NSA-linked zeroday targeted its firewalls for years". Ars Technica. Retrieved 5 January 2017.
  20. ^ Greenberg, Andy. "The Shadow Brokers Mess Is What Happens When the NSA Hoards Zero-Days". WIRED. Retrieved 5 January 2017.
  21. ^ "Trump Likely to Retain Hacking Vulnerability Program". Bloomberg BNA. Archived from the original on 5 January 2017. Retrieved 5 January 2017.