Zerodium에서 일시적으로 iOS 익스플로잇 구매 중지 안내

Zerodium은 소프트웨어 벤더에 알려지지 않은 취약점을 사고 파는 기업입니다. 지난 5월 Zerodium에서 앞으로 2-3개월 동안은 iOS 익스플로잇을 더이상 구매하지 않겠다고 발표했습니다. 또한 앞으로 1-click 공격에 사용되는 익스플로잇 가격은 계속해서 떨어질 것이라고 예상하기도 했습니다. ^[1] 해당 기업은 이미 작년 9월에 iOS 익스플로잇들의 구매 가격을 50% 정도 하향 조절 했었는데요 ^[2].

Zerodium의 이 같은 발표는 어떤 의미를 담고 있는지 한번 알아보겠습니다.

모바일 보안 실태

수년 동안 아이폰은 그 특유의 폐쇄성으로 오픈 소스인 안드로이드 보다 보안성이 높다는 대중의 시각이 있었습니다.
하지만 2020년인 지금에도 여전히 그럴까요?

2020년에 각 벤더에서 공개된 Security Bulletin을 참고하면 벤더사에 직접 보고된 취약점만 iOS는 111개 Android은 86개입니다. Chrome에서 발견된 취약점을 합치면 비슷한 수준이지만 오픈소스의 특성으로 인해 많은 사람들이 지켜보고있는 Android와 별 차이가 없다는 것은 iOS의 보안이 좋지 않다는 것을 의미한다고 생각됩니다.

익스플로잇 가격

익스플로잇의 가격은 다른 제품과 마찬가지로 시장원리를 적용받습니다. 익스플로잇을 구매하고자 하는 수요는 보통 일정하기 때문에 공급이 늘어나면 자연스럽게 가격이 내려갑니다.

또한 Zerodium의 구매자들은 최신 버전에서 동작하는 익스플로잇 하나만을 필요로 하는 경우가 대부분이기 때문에 굳이 늘어난 공급량에 맞춰 익스플로잇을 살 필요가 없어 가격이 떨어지는 것이 당연합니다.

이러한 과공급 현상은 최근 iOS14의 소스코드가 유출 되었던 점도 크게 영향을 받았을 것으로 보입니다 ^[3].

제로디움에서의 iOS 구매 중단이 시사하는 바

Closed Source로 유지해오던 iOS가 소스코드 유출 한번으로 다량의 취약점이 검출된 것이 맞다고 가정하면 결국 보안성을 향상 시키는 것은 Open Source로의 전환을 통해 다양한 사람들에게 리뷰 받는 것이 장기적인 관점에서 이득인 것이 아닌가 하는 생각이 듭니다.