최근 'bikini'라는 익명의 GitHub 계정이 'Exploitarium'이라는 저장소를 개설하고, 7-Zip, AnyDesk, Docker, Firefox, PHP, VLC 등 널리 사용되는 소프트웨어의 미공개 취약점(0-day)과 개념 증명(PoC) 코드를 대량으로 공개해 사이버 보안 커뮤니티가 술렁이고 있습니다. 이 계정은 “새로운 공개가 오늘 있었고, 역대 최대 규모”라고 밝히며, 선의의 취약점 연구를 목적으로 한다고 주장했습니다.
'Exploitarium' 저장소에는 총 23개의 PoC 폴더가 포함되어 있으며, 대부분은 과거에 개별 저장소로 존재했던 항목들을 통합한 것입니다. 특히 c-ares, libssh2, ffmpeg, firefox 등 다양한 프로젝트에 대한 새로운 취약점들이 날짜와 함께 직접 추가되었습니다. 이 계정은 기존 PoC들의 내용을 보존하기 위해 Git tree 데이터를 비교하는 엄격한 검증 방식을 사용했으며, 12개 저장소, 96개 추적 항목에 대해 불일치가 없었음을 강조했습니다. 하지만 공개된 내용 중 일부는 실제 0-day(제로데이) 취약점이라기보다는 이미 알려진 취약점이나 단순 버그에 가깝다는 지적도 나오고 있습니다.
이번 대량 공개는 '0-day'의 정의와 실제 심각성에 대한 논쟁을 다시 불러일으키고 있습니다. 일부 보안 연구자들은 공개된 내용 중 Ghidra, Docker, VLC 관련 PoC들이 실제 악용 가능성이 낮거나 단순 크래시에 불과하다고 평가하며, AI가 생성한 취약점 보고서처럼 부풀려진 것일 수 있다는 의구심을 제기했습니다. 반면, nmap, c-ares, libssh2, ffmpeg 관련 일부 취약점은 잠재적으로 심각도가 높을 수 있다는 의견도 있습니다. 이러한 논란 속에서, 익명의 계정이 밝힌 ‘사이버 보안 분야에 더 많은 관심을 유도하기 위함’이라는 의도와는 별개로, 잠재적 악용 가능성에 대한 우려와 함께 보안 업계의 경각심을 높이는 계기가 되고 있습니다.