트렌드마이크로(지사장 김진광)는 24일 발표를 통해 시장조사기관 옴디아(Omdia)에서 발표한 보고서의 연구 결과를 인용, 자사의 보안 및 취약점 연구 조직 ‘제로데이 이니셔티브(Zero Day Initiative, ZDI)가 지난 해 가장 많은 취약점을 공개했다고 발표했다.

옴디아가 독자적으로 진행한 이번 연구는 보안 취약점을 연구하는 11곳의 리서치 벤더사(Research vendor)에서 발표한 취약점 공개 내역을 분석, 트렌드마이크로의 ‘제로데이 이니셔티브’가 벤더 불문(Vendor-agnostic) 버그 보상 프로그램(Bug bounty program)으로서 전 세계 최대 규모를 10년째 유지하고 있음을 확인했다. 

트렌드마이크로 ‘제로데이 이니셔티브’는 트렌드마이크로의 보안 제품을 사용하는 이용자에게 해당 보안 취약점이 패치되기 전에 선제적 대응을 할 수 있도록 한다.

특히 티핑포인트는 소프트웨어 벤더가 직접 패치하기 전까지 평균 81일 먼저 해당 취약점에 대한 대응을 하고 있다.

브라이언 고렝크(Brian Gorenc) 트렌드마이크로 취약점 리서치 시니어 디렉터는 “많은 사이버 공격이 패치 되지 않은 취약점을 이용해 민감 데이터를 도용하고 시스템 운영에 장애를 발생시키며, 시스템을 손상시키는 멀웨어를 확산시켜 피해 기업에 막대한 손실을 입히고 있다”라며 “트렌드마이크로는 지난 15년 동안 해온 취약점 공개 활동에 자부심을 느끼고 있다. 공동의 취약점 공개 노력은 소프트웨어의 보안 수준을 실제로 향상시키기 위해 필수적이며, 이는 트렌드마이크로가 가장 중요하게 생각하는 사항”라고 밝혔다.

옴디아의 ‘취약점 공개 시장 계량화(Quantifying the Public Vulnerability Market)’ 연구는 11곳의 연구기관과 벤더사의 활동을 미국 국립표준기술연구소(NIST), 마이터(MITER) 및 침해사고대응팀(US CERT/CC)을 비롯한 정부 기관의 발표 자료와 대조하면서 평가한 내용을 담았다.

▲ (출처 : 트렌드마이크로 제공)

11곳의 벤더사가 발견한 총 1095건의 취약점(중복 탐지 14건 포함) 가운데, 트렌드마이크로의 제로데이 이니셔티브는 573건의 취약점을 탐지해 전체 탐지량의 52.3%를 차지했다.

이는 차순위 기업이 차지한 15%에 비해 3.5배 많은 수치다.

이런 결과를 통해 제로데이 이니셔티브는 2018년에 이어 2019년에도 시장 선도 위치를 유지했다.

태너 존슨(Tanner Johnson) 옴디아 수석 애널리스트는 “트렌드마이크로의 제로데이 이니셔티브는 지속적으로 취약점 공개 시장을 견인하고 있으며, 가장 높은 버그 탐지뿐만 아니라, 비즈니스 영역 보안에 가장 위험한 취약점 공개에 기여하고 있다”라며 “전 세계 기업이 의존하고 있는 벤더사와 협력은 모든 영역에서 보안 수준을 높이는 데에 기여한다”고 밝혔다.

트렌드마이크로는 심각한 취약점 탐지율 56.2%와 중간 수준 취약 탐지율 60.5%를 기록하며 압도적인 위치를 차지하고 있다.

대상 제품을 기준으로 분석하면, 지난해 공개된 PDF 취약점은 총 269개로, 제로데이 이니셔티브가 이 중 61%를 탐지했다. 

한편, 2005년에 시작한 트렌드마이크로의 제로데이 이니셔티브는 취약점 제보를 촉진하기 위해 연구원들을 대상으로 버그 포상(Bug bounty rewards)을 제공, 취약점 공개 시장을 변화시켰다. 

제로데이 이니셔티브는 핵심 인프라 내 비즈니스 애플리케이션, 운영 체제, 모바일과 IoT를 비롯해 ICS/SCADA까지 포함한 다양한 소프트웨어 영역에 기여하는 1만명 이상의 독립적인 연구원이 이끌고 있다.

제로데이 이니셔티브는 7500개 이상의 취약점 공개를 책임졌으며, 참여한 연구원들에게 2500만 달러(한화 약 2972만원) 이상의 보상금을 지급했다.

<김동기 기자>kdk@bikorea.net