보안 취약점을 판매하는 경매 사이트

취약점을 판매하는 이베이형 경매 사이트는 연구자가 작업에 대한 정당한 가격을 받게 해 보안 개선에 일조할 것이라고 창업자들은 말한다.‘WSLabi’ 최고경영자이자 와비사비라비(WabiSabiLabi) 경매 사이트 설립자인 허먼 잼패이롤로는 “연구자들에게 보상을 제공하려던 기존 사업 모델은 실패했다”고 밝혔다.또 그는 “IT 전문가들은 취약점 규명 업무에 대한 보상을 못 받기에 현재 패치되는 취약점은 극소수다”라며 “소방수가 돈을 못받으면 불을 끄는게 쉽지 않다”고 강조했다. 사이트는 현재 야후 메신저, 리눅스 커널 메모리 누수, MKPortal과 스쿼렐메일 문제에 들어 있는 SQL 주입 결함에 대해 원격 버퍼 오버플로우를 차단하고 있다. 연구자들은 지난 해 7,000건에 가까운 취약점을 분석했지만, 잼패리올로는 매년 코드에서 확인되는 실제 취약점의 수는 13만 9,362개가 될 수 있다고 평가한다. 이 수치는 IBM 자회사가 된 보안 회사 ISS의 군터 올만이 처음 인용하였다. 이탈리아 네트워크 기업 아이라이트의 최고경영자였던 잼패리올로는 이러한 상황에 자극을 받아 Zone-h.org 사이버범죄 아카이브 설립자인 전략 디렉터 로베르토 프레아토니와 함께 와비사비라비 사이트를 설립하게 되었다.현재까지 사이트에 게시된 입찰 건수는 전무한 상태인데, 이는 구매자 식별의 지연으로 인한 것일 가능성이 높다. 각 구매자는 일반 우편이나 팩스를 이용하여 본인의 아이덴티티 및 은행 계좌 증비서류를 전달해야 하며, 전자 화폐는 받지 않는다. 현재까지 구매자 20명과 판매자 30명이 등록했으며, 판매자들은 다음 주 사이트에 나타날 결함을 제공하였다. 잼패리올로는 “우리는 전속력을 다해 전진할 것이다. 보다 많은 취약점이 제출되었고, 우리는 취약점을 인증 및 형식화하고 있다. 내일은 토요일이지만 아무도 집에 가지 않는다”고 말했다. 구매자들은 닉네임을 이용하여 익명으로 거래할 수 있고, WSLabi는 이들의 신원을 파악할 수 있다. 사이트에 대한 취약점은 WSLabi에게 공개해야 하며, 이는 본인 여부를 검증하여 최종 구매자에게 ‘개념 증거’를 제공한다. 연구소는 엔지니어 10명과 기타 프리랜서를 보유하고 있다. 시장은 6개월 동안 무료로 가입 및 이용할 수 있다. 그 이후 구매자와 판매자에게 10%의 수수료를 부과할 예정이지만, 주요 수익은 회사가 구축한 취약점 지식 기반을 이용하여 제 3자에게 판매하는 서비스를 통해 얻을 계획이다.이러한 수익은 취약점 발견자와 분배할 계획이며, 잼패리올로는 일부 기업이 자체 보안 랩을 운영하는 대신 이러한 서비스에 가입하기를 희망하고 있다. 잼패리올로에 따르면 기존의 보안 기업은 와비사비라비의 가치에 대해 50-50으로 분할하지만, 일부 기업은 실패하고 있다. 그는 “보안을 취급하는 방식을 완전히 재설계하는 것이 목표다. 우리 사업이 성공한다면 이들은 고통을 받을 것”이라며 “패자가 될 가능성이 높은 기업은 아이디펜스와 ISS”라고 말했다. 트렌드 마이크로 교육 담당이사 데이빗 페리는 여기에 비판적인 입장이다. 페리는 발행된 기사에서 와비사비라비를 ‘취약점을 위한 이베이’로 묘사하며 ‘이 일을 할 때 옳고 그른 사람을 어떻게 알 수 있냐’고 반문했다. 한편, WSLabi는 개인 투자자로부터 500만유로(680만달러)의 지원을 받고 있으며, 18개월 내에 증권거래소(런던 AIM이나 오슬로의 거래소가 될 가능성이 높다) 상장을 희망하고 있다. @