[보안뉴스 한세희 기자] 제로데이 취약점을 모아 판매하는 러시아 기업 오퍼레이션제로가 텔레그램 메신저 보안 취약점의 공개 구매에 나섰다.

이 회사는 보안 연구자로부터 주요 정보보호 취약점을 구매하고 이를 정부나 기업 등에 판매하는 ‘취약점 플랫폼’을 표방한다. 주로 러시아 정부와 거래하는 것으로 알려졌다.


▲오퍼레이션제로가 X 계정을 통해 텔레그램 취약점 공개 구매에 나섰다. [자료: 오퍼레이션제로 X]

이 회사는 최근 X 계정에 원-클릭 원격 코드 실행(RCE) 공격 수단에 50만달러, 제로-클릭 RCE 공격 수단에 150만달러를 제시했다. RCE는 공격자가 목표로 하는 대상의 컴퓨터나 네트워크에서 원격으로 악성 코드를 실행하게 하거나 시스템에 대한 통제권을 갖게 하는 공격을 말한다. 목표 대상의 텔레그램 계정에 접근해 전체 운용체계나 기기에 대한 통제권까지 탈취하는 전체 과정을 가능케 하는 ‘full chain’ 공격 수단에 대해선 최대 400만달러를 제시했다.

취약점을 사고 파는 기업들이 상금을 걸고 특정 앱이나 서비스의 허점을 찾는 것은 드문 일은 아니다. 다만, 오퍼레이션제로의 주 고객이 러시아 정부라는 점에서 이는 각국 정부나 사법 당국의 협조 요쳥에 좀처럼 응하지 않아 보안성이 높다고 알려진 텔레그램 계정을 감시하려는 러시아의 의도를 반영한 것이란 의혹이 제기된다.

텔레그램은 법원의 압수 수색 영장 등에 응하지 않는 정책으로 유명하지만, 기술적으로는 안전한 메시지 앱으로 간주되지는 않는다. 시그널이나 왓츠앱과는 달리 종단 간 암호화가 적용돼 있지 않고, 비밀 채팅도 1:1 대화방에서만 가능하기 때문이다. 또 러시아와 우크라이나에서 인기가 높다는 점도 텔레그램 취약점에 대한 러시아의 수요를 높이는 요소다. 우크라이나는 지난해 9월 국가 안보를 이유로 정부 기관과 군대의 텔레그램 사용을 금지한 바 있다.

[한세희 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>