소식 애플 직원, 크롬 제로데이 취약점 알고도 구글에 공유 안했다
- BarryWhite
- 조회 수 468
- 2023.07.21. 06:23
여기에서 자주 보고했듯이, 기술 회사들은 보안 연구자들이 발견한 제로데이 익스플로잇을 공유하여 서로의 보안 시스템을 개선하는 데 도움을 주는 것이 일반적입니다. 예를 들어 Google은 이를 자주 사용합니다. 하지만 최근 한 Apple 직원이 구글 크롬에서 제로데이 익스플로잇을 발견했는데, 이 직원은 해당 버그를 애플에 보고하지 않은 것으로 알려졌습니다.
Apple은 Chrome에서 발견된 익스플로잇에 대해 Google에 알리지 않았습니다.
구글 크롬 웹 브라우저의 최근 업데이트로 제로데이 익스플로잇이 수정되었습니다. 보통 익스플로잇을 발견한 사람이 누구인지, 어떻게 수정되었는지 설명하는 것이 일반적이지만, 이번 익스플로잇에 대한 설명은 다소 흥미로웠습니다. 구글 직원에 따르면 이 익스플로잇은 원래 애플 직원이 발견했다고 합니다.
좀 더 구체적으로 말하자면, 이 버그는 지난 3월에 열린 '깃발 탈취' 또는 'CTF'라는 해킹 대회에 참가하던 중 발견되었다고 합니다. 발견 당시 이 익스플로잇은 제로데이 상태였기 때문에 당시까지 아무도 이 익스플로잇을 인지하지 못했습니다. 현재 구글은 해당 익스플로잇을 수정했지만, 이는 애플의 보안 연구원 덕분이 아니었습니다.
이 구글 직원은 테크크런치를 통해 Chromium 플랫폼 전용 블로그에 "이 문제는 CTF 팀 HXP의 sisu가 보고했으며, HXP CTF 2022 기간 동안 Apple 보안 엔지니어링 및 아키텍처(SEAR)의 한 멤버가 발견했습니다."라고 썼습니다.
테크크런치가 디스코드 채널에 접속해 확인한 결과, 버그를 발견한 애플 직원이라고 주장하는 사람은 익스플로잇을 즉시 수정해야 할 "급한 상황은 아니었다"고 말했습니다. 이 사람은 애플의 보안 연구팀만 이 익스플로잇에 대해 알고 있으며 실제 시나리오에서는 쉽게 접근하기 어렵다고 설명했습니다.
또한 이 직원은 이 익스플로잇이 6월 5일에 구글에 보고되었으며, 여러 사람이 보고에 서명하는 데 시간이 걸렸기 때문에 지연이 발생했다고 주장했습니다.
직원, Apple, Google 모두 이 상황에 대해 언론에 언급하지 않았습니다. 하지만 이 사건으로 인해 두 회사의 보안 팀 간에 의견 차이가 생길 수 있습니다. 올해 초, Apple은 macOS에서 시스템 무결성 보호 기능을 우회할 수 있는 익스플로잇을 발견해준 Microsoft에 감사를 표한 바 있습니다.
구글 프로젝트 제로 연구원들도 애플 플랫폼에서 제로데이 익스플로잇을 발견한 공로를 인정받기도 합니다.