미국 해군, 잘 알려진 소프트웨어를 악용하기 위해 제로데이 구매 시도하다 EFF에 적발됨

미국 해군, Microsoft, Adobe, Android, IBM, Apple 등 제로데이 구매 시도, EFF에 적발됨

사이버 범죄자들이 제로데이를 찾는 것은 새로운 일이 아니며, NSA, GCHQ와 같은 정부의 감시 기관들도 때때로 해커들로부터 제로데이를 구매하여 소프트웨어의 취약점을 악용하고 백도어를 설치하는 데 관여합니다. 하지만 미국 해군이 여러 잘 알려진 소프트웨어의 제로데이를 구매하려고 시도한 것은 이번이 처음입니다.

전자 프론티어 재단(EFF)은 미국 해군이 잘 알려진 소프트웨어의 보안 취약점을 판매할 사람들을 공개적으로 모집하는 것을 발견했습니다. 미국 해군은 NSA와 마찬가지로 제로데이를 구매하여 소프트웨어에 백도어를 구축하려고 했던 것으로 보입니다.

제로데이 구매 제안은 정부 웹사이트 FedBizOpps에 게시되었으며, EFF에 의해 강조된 직후 삭제되었습니다. 웹사이트에서 미국 해군은 제로데이가 필요한 이유를 자세히 설명했습니다. 그들은 “미국 정부는 널리 사용되고 의존하는 상업 소프트웨어에 영향을 미치는 취약점 정보, 악용 보고서 및 운영 악용 바이너리에 접근할 필요가 있다”고 말했습니다.

EFF는 미국 해군이 Microsoft, Adobe, Android, IBM, Apple, EMC, Cisco, Linksys, Linux, EMC 및 Java와 같은 다양한 소프트웨어 패키지의 제로데이를 구매하고자 했다는 내용을 보존했습니다. PDF 스크랩은 아래와 같습니다:

https://www.eff.org/files/2015/06/12/70-common-vulnerability-exploit-products-federal.pdf

위의 모든 기술 회사들은 매일 수십억 명의 사용자가 사용하는 제품을 제조합니다. 미국 해군의 버킷 리스트에서, 그들이 가능한 한 많은 소프트웨어 패키지에 백도어를 만들려고 한다는 것이 분명합니다.

“더욱 주목할 만한 것은 정부가 취약점을 악용하기로 결정하는 과정에 대해 얼마나 적은 관심을 보이는가 하는 점입니다.”라고 EFF는 블로그 게시물에서 씁니다.

“우리가 이전에 설명했듯이, 개발자에게 이를 공개하기보다는 ‘공격적’ 목적으로 취약점을 사용하는 결정은 수백만 사용자의 보안보다 감시를 우선시하는 것입니다. 정부는 이 결정이 모든 경우에 있어 매우 중요한 결정이라는 것을 인정했습니다.

“해군은 이 특정 요청을 기억에서 지우려고 했지만, 우리는 FOIA 소송을 통해 정부의 공적 발언과 제로데이 비축과 관련된 명백한 관행 간의 갈등에 대해 더 많은 빛을 비출 수 있기를 희망합니다.”

같은 블로그 게시물에서 EFF는 VEP에 대해 미국 정부를 상대로 소송 중이라고 밝혔습니다. 블로그는 계속해서 다음과 같이 말합니다,

더욱 주목할 만한 것은 정부가 취약점을 악용하기로 결정하는 과정에 대해 얼마나 적은 관심을 보이는가 하는 점입니다. 우리가 이전에 설명했듯이, 개발자에게 이를 공개하기보다는 “공격적” 목적으로 취약점을 사용하는 결정은 수백만 사용자의 보안보다 감시를 우선시하는 것입니다. 정부는 이 결정이 모든 경우에 있어 매우 중요한 결정이라는 것을 인정했습니다. 정부는 심지어 “취약점 공개를 위한 규율 있고 철저하며 고급의 의사 결정 프로세스를 수립했다”고 보고되었으며, 이를 취약점 공정성 프로세스(VEP)라고 부릅니다. 정부는 VEP가 완전히 기밀이라고 말하며, EFF는 이를 공개하기 위해 소송 중입니다.