2026년 7월 8일, 보안 저널리스트 브라이언 크렙스는 버지니아주 McLean에 본사를 둔 신생 업체 IRIS C2가 제로데이 익스플로잇 하나당 최대 700만 달러를 지급하겠다고 광고 중이라고 보도했다. 액수만 보면 업계 상위 브로커와 견줄 만한 수준이다. 그런데 이 회사를 실제로 운영하는 두 사람의 이력은 정보보안이 아니라 유권자 협박 로보콜과 위조 성폭행 의혹 유포로 채워져 있다. 리서처가 익스플로잇을 팔 회사를 고를 때 가격표 이면의 운영자가 누구인지가 왜 중요한지, 이 사례가 보여준다.
700만 달러 채용 공고의 겉모습
IRIS C2는 2025년 1월 X(옛 트위터) 계정 @C2IRIS를 개설하며 활동을 시작했다. 팔로워는 4천 명을 넘어섰다. 공식 소개 문구는 "전 세계 최고의 취약점 리서처와 익스플로잇 개발자를 영입한다"는 것이다.
회사가 밝힌 사업 내용은 "모든 주요 플랫폼에서 제로데이 익스플로잇, 개별 프리미티브, 부분 체인, 완전한 공격 역량을 인수한다"는 것이다. 제시 금액은 표적과 신뢰성, 작전 가치에 따라 1만 달러에서 700만 달러까지 폭이 넓다.
웹사이트 calvexagroup.com은 irisc2.com으로 자동 연결된다. 실제 운영법인 이름이 Calvexa Group LLC라는 뜻이다. 등기 주소는 로비 회사 Burkman & Associates가 있는 버지니아주 Arlington과 같다.
뒤집어보면 로비스트와 정치 공작가
Calvexa Group을 이끄는 두 사람은 취약점 연구와 거리가 멀다. Jack Burkman(60)은 로비 회사 Burkman & Associates를 세운 로비스트다. Jacob Wohl(28)은 17세에 투자회사를 차렸고 방송 출연 이후 "Wohl of Wall Street"라는 별명을 얻은 인물이다. 컴퓨터과학이나 정보보안 관련 정규 교육 이력은 없다.
Wohl 본인은 "나는 누구보다 기술을 잘 안다"고 주장한다. 그러나 IRIS C2 채용을 검토했던 한 참석자는 몇 분 만에 기술적 무지가 드러났다고 전했다.
두 사람은 이전에도 FBI 국장 로버트 뮬러를 겨냥한 위조 성폭행 의혹, 정치인 대상 허위 스캔들 유포로 논란을 일으킨 바 있다.
신뢰를 무너뜨린 전과 기록
Burkman과 Wohl의 이력은 단순 논란을 넘어 실형과 벌금으로 이어졌다.
2020년 대선 직후, 두 사람은 여러 주에서 유권자 약 8만5천 명을 대상으로 로보콜을 돌렸다. 우편투표를 하면 개인정보가 경찰 데이터베이스에 등록된다는 거짓 정보를 흑인 유권자에게 집중적으로 전달하는 내용이었다. 디트로이트 지역에서만 1만2천여 건이 발신됐다.
오하이오주 커야호가 카운티는 2022년 12월 두 사람에게 각 2년 보호관찰과 6개월 위치추적 발찌, 벌금 2,500달러씩을 선고했다. 미시간주는 2025년 8월 유권자 협박 혐의를 인정받아 같은 해 12월 보호관찰 1년을 선고했다. 뉴욕주 법무장관실과는 최대 125만 달러 배상 합의를 맺었다.
연방통신위원회(FCC)는 2023년 6월 이 로보콜 건에 510만 달러 벌금을 부과했다. 통신법(TCPA) 위반 벌금으로는 당시 역대 최고액이었다.
전과는 여기서 끝나지 않는다. Wohl은 2019년 캘리포니아에서 미등록 증권 판매 관련 중죄 4건에 유죄를 인정했다. 2024년 9월에는 두 사람이 "Jay Klein"과 "Bill Sanders"라는 가명으로 AI 로비 스타트업 LobbyMatic을 운영해온 사실이 전 직원들의 폭로로 드러났다. Wohl은 실존하지 않는 부사장까지 만들어낸 것으로 확인됐다.
기존 브로커와 비교하면 드러나는 공백
제로데이 매입 자체는 새로운 사업 모델이 아니다. Zerodium·Crowdfense 같은 브로커는 10년 가까이 정부기관을 상대로 검증된 거래 이력을 쌓으며 공개 가격표를 운영해왔다.
IRIS C2가 내건 가격대는 이들과 외형상 비슷하지만, 실적과 검증 절차는 전무하다.
폴란드 매체 Security Bez Tabu는 이 격차를 정보 비대칭 문제로 짚었다. 브로커가 정부 협력을 내세우면서도 기술적 성숙도를 입증하지 못하면, 리서처는 자신이 판 익스플로잇이 어디로 흘러가는지 확신할 수 없다는 것이다.
크렙스의 후속 취재에 따르면, 최근에는 6,500만 달러 규모 해킹 혐의로 기소된 캐나다의 한 암호화폐 사기범으로부터 사면 로비 청탁 명목으로 30만 달러를 받았다는 의혹까지 제기됐다. 같은 인물들이 "제로데이 보안 업체"와 "로비 대행" 사업을 동시에 운영하고 있다는 뜻이다.
실용 관점
이 사례가 남기는 교훈은 가격표가 아니라 검증이다. 제로데이는 판매자와 구매자 양쪽 모두 익명성을 선호하는 시장이고, 그만큼 운영 주체의 신원과 이력을 스스로 확인하는 절차가 중요하다. 리서처 입장에서는 회사 이름과 도메인 등록 정보, 대표자 이력을 역추적하는 최소한의 실사가 거래 전 필수적이다.
한국 기업이 해외 침투테스트·취약점 조달 업체와 계약할 때도 같은 원칙이 적용된다. 대표자 이력과 과거 거래 실적을 확인하지 않으면 비슷한 신뢰 공백에 노출될 수 있다는 점을 이 사건이 시사한다.