트렌드마이크로, 지난해 여러 보안 벤더 중 가장 많은 취약점 공개

보안 기업 트렌드마이크로가 시장조사기관 옴디아(Omdia)의 연구 결과 보고서를 통해, 자사의 보안 및 취약점 연구 조직인 ‘제로데이 이니셔티브(Zero Day Initiative, ZDI)가 지난 해 가장 많은 취약점을 공개했다고 밝혔다.

옴디아의 ‘취약점 공개 시장 계량화(Quantifying the Public Vulnerability Market)’ 연구는11곳의 연구 기관과 벤더사의 활동을 미국 국립표준기술연구소(NIST), 마이터(MITER) 및 침해사고대응팀(US CERT/CC)을 비롯한 정부 기관의 발표 자료와 대조하면서 평가한 내용을 담았다.

11곳의 벤더사가 발견한 총 1095건의 취약점(중복 탐지 14건 포함) 가운데, 트렌드마이크로의 제로데이 이니셔티브는 573건의 취약점을 탐지해 전체 탐지량의 52.3%를 차지했다. 이는 차순위 기업이 차지한 15%에 비해 3.5배 많은 수치다. 이런 결과를 통해 제로데이 이니셔티브는 2018년에 이어 2019년에도 시장 선도 위치를 유지했다.

특히 ZDI는 벤더 불문(Vendor-agnostic) 버그 보상 프로그램으로서 전 세계 최대 규모를 10년째 유지하고 있는 것으로 나타났으며, 심각한 취약점 탐지율 56.2%와 중간 수준 취약 탐지율 60.5%를 기록하며 압도적인 위치를 차지하고 있다. 대상 제품을 기준으로 분석하면, 지난해 공개된 PDF 취약점은 총 269개로, 제로데이 이니셔티브가 이 중 61%를 탐지했다.

한편, 2005년에 시작된 ZDI는 취약점 제보를 촉진하기 위해 연구원들을 대상으로 버그 포상(Bug bounty rewards)을 제공하여, 취약점 공개 시장을 변화시켰다. 제로데이 이니셔티브는 핵심 인프라 내 비즈니스 애플리케이션, 운영 체제, 모바일과 IoT를 비롯해 ICS/SCADA까지 포함한 다양한 소프트웨어 영역에 기여하는 1만명 이상의 독립적인 연구원이 이끌고 있다. 제로데이 이니셔티브는 7500개 이상의 취약점 공개를 책임졌으며, 참여한 연구원들에게 2500만 달러 이상의 보상금을 지급해왔다.