제로데이 익스플로잇은 컴퓨터 소프트웨어, 하드웨어 또는 펌웨어의 알려지지 않았거나 해결되지 않은 보안 결함을 활용하는 사이버 공격 벡터입니다. "제로 데이"는 악의적인 공격자가 이미 취약한 시스템에 액세스할 수 있기 때문에 소프트웨어 또는 디바이스 공급업체가 결함을 수정할 수 있는 시간이 0일이라는 사실을 의미합니다.
알려지지 않았거나 해결되지 않은 취약점을 제로데이 취약점 또는 제로데이 위협이라고 합니다. 제로데이 공격은 악의적인 공격자가 제로데이 익스플로잇을 사용하여 멀웨어를 심기도 하고, 데이터를 훔치기도 하거나, 기타 방식으로 사용자와 조직 또는 시스템에 피해를 입힐 수 있습니다.
이와 유사하지만 별개의 개념인 제로데이 멀웨어는 시그니처가 알려지지 않았거나 아직 사용할 수 없는 바이러스 또는 멀웨어로, 대다수 안티바이러스 소프트웨어 솔루션이나 기타 시그니처 기반 위협 탐지 기술로는 발견할 수 없습니다.
IBM의 X-Force Threat Intelligence 팀은 1988년 이후 7,327건의 제로데이 취약점을 기록했는데, 이는 기록된 모든 보안 취약점의 3%에 불과합니다. 그러나 제로데이 취약점, 특히 널리 사용되는 운영 체제나 컴퓨팅 장치의 경우에는 심각한 보안 위험입니다. 공급업체나 사이버보안 커뮤니티가 문제를 파악하고 해결책을 발표할 때까지 수많은 사용자나 전체 조직이 사이버 범죄에 노출될 수 있습니다.
보안 인텔리전스 강화
매주 Think 뉴스레터에서 보안, AI 등에 대한 뉴스와 인사이트를 확인하고 위협에 한발 앞서 대처하세요.
제로데이 취약점은 운영 체제, 앱 또는 디바이스의 새 버전이 출시되는 순간부터 존재하지만 소프트웨어 공급업체나 하드웨어 제조업체는 이를 알지 못합니다. 이 취약점은 누군가 발견할 때까지 며칠, 몇 달 또는 몇 년 동안 탐지되지 않을 수 있습니다.
보안 연구원이나 소프트웨어 개발자가 위협 행위자보다 먼저 결함을 발견하는 것이 가장 좋은 시나리오입니다. 그러나 때로는 해커가 먼저 취약점을 발견하기도 합니다.
결함을 발견한 주체가 누구든 상관없이 결함은 얼마 지나지 않아 공개되는 경우가 많습니다. 공급업체와 보안 전문가들은 보통 고객에게 알리고, 그들이 예방 조치를 취할 수 있도록 합니다. 해커들은 서로 위협을 교환할 수 있고, 연구원들은 사이버 범죄 활동을 살피면서 그 위협에 대해 알 수 있습니다. 일부 공급업체는 소프트웨어 업데이트나 기타 수정 사항을 개발할 때까지 취약점을 비밀로 유지할 수 있지만 이는 도박일 수 있습니다. 공급업체가 패치를 적용하기 전에 해커가 결함을 발견하면 조직은 수습에 실패할 수 있습니다.
새로운 제로데이 결함에 대한 정보가 알려지면 이 결함을 해결하기 위해 노력하는 보안 전문가와 이 취약점을 이용해 시스템에 침입하려는 해커 간의 경쟁이 시작됩니다. 해커는 실행 가능한 제로데이 익스플로잇을 개발하면 곧바로 이를 사용하여 사이버 공격을 시작합니다.
보안 팀이 패치를 개발하는 것보다 더 빨리 해커가 익스플로잇을 개발하는 경우가 많습니다. 한 추정치에 따르면 익스플로잇은 일반적으로 취약점이 공개된 후 14일 이내에 사용할 수 있습니다. 그러나 일단 제로데이 공격이 시작되면 공급업체가 공격의 정보를 사용하여 수정해야 할 결함을 정확히 찾아내기 때문에 며칠 만에 패치가 이어지는 경우가 많습니다. 따라서 제로데이 취약점은 위험할 수 있지만, 일반적으로 해커가 이 취약점을 오래 이용(익스플로잇)할 수는 없습니다.
Stuxnet
Stuxnet은 Microsoft Windows 운영 체제의 제로데이 소프트웨어 취약점 네 가지를 악용한 정교한 컴퓨터 웜입니다. 2010년 이란의 핵 시설에 대한 일련의 공격에 Stuxnet이 사용되었습니다. Stuxnet 웜이 핵발전소의 컴퓨터 시스템을 침입했을 때, 우라늄 가열을 위해 사용되는 중심분리기에 악의적인 명령을 보냈습니다. 이 명령으로 인해 원심분리기가 너무 빠르게 회전하여 고장이 나고 말았습니다. 결과적으로 Stuxnet은 원심분리기 총 1,000대를 손상시켰습니다.
연구자들은 미국과 이스라엘 정부가 스턱스넷을 만드는 데 협력했다고 믿지만 이는 확인되지 않았습니다.
Log4Shell
Log4Shell은 오픈 소스 Java 라이브러리인 Log4J를 사용하여 오류 메시지를 로깅하는 데 사용되는 제로데이 취약점이었습니다. 해커는 Log4Shell 결함을 이용해 Java 앱을 실행하는 거의 모든 디바이스를 원격으로 제어할 수 있습니다. Log4J는 Apple iCloud 및 Minecraft와 같은 인기 프로그램에서 사용되기 때문에 디바이스 수억 대가 위험에 노출되었습니다. MITRE의 CVE(Common Vulnerabilities and Exposures) 데이터베이스에서 Log4Shell에는 10점 만점에 10점인 최고 위험 점수가 매겨졌습니다.
Log4Shell 결함은 2013년부터 존재했지만, 해커들이 이를 악용하기 시작한 것은 2021년부터였습니다. 이 취약점은 발견 직후 패치가 적용되었지만 보안 연구원들은 분당 최대 100건 이상의 Log4Shell 공격을 탐지했습니다.
2022년 Chrome 공격
2022년 초, 북한 해커들은 Google Chrome 웹 브라우저의 제로데이 원격 코드 실행 취약점을 악용했습니다. 해커들은 피싱 이메일을 사용하여 피해자를 스푸핑된 사이트로 이동시켰으며, 이 사이트는 Chrome 취약점을 이용해 피해자의 컴퓨터에 스파이웨어와 원격 액세스 멀웨어를 설치했습니다. 이 취약점은 신속하게 수정되었지만 해커들은 잘 숨겼으며, 연구원들은 정확히 어떤 데이터가 도난당했는지 밝혀내지 못했습니다.
제로데이 공격은 가장 방어하기 어려운 사이버 위협 중 하나입니다. 해커는 공격 대상이 제로데이 취약점을 인지하기도 전에 이를 악용하여 위협 행위자가 탐지되지 않은 채 네트워크에 몰래 침투하도록 할 수 있습니다.
취약점이 공개되었다고 해도 소프트웨어 제공업체가 패치를 출시하기까지 시간이 걸릴 수 있어 기관들이 이를 위험에 노출되는 상황이 발생할 수 있습니다.
현재 해커는 제로데이 취약점을 더 자주 악용하고 있습니다. 2022년 Mandiant 보고서에 따르면 2018~2020년 제로데이 취약점이 악용된 수를 모두 합친 것보다 2021년 악용된 수가 더 많은 것으로 나타났습니다.
제로데이 공격의 증가는 기업 네트워크가 점점 더 복잡해지고 있다는 사실과 관련이 있을 것입니다. 오늘날 조직은 클라우드 및 온프레미스 앱, 회사 소유 및 직원 소유의 디바이스, 사물인터넷(IoT) 및 운영 기술(OT) 디바이스를 혼합하여 사용하고 있습니다. 이러한 모든 요인은 조직의 공격 표면의 크기를 확장하며, 그 중 어느 곳에나 제로데이 취약점이 숨어 있을 수 있습니다.
제로데이 결함은 해커에게 매우 유용한 기회를 제공하기 때문에 사이버 범죄자들은 제로데이 취약점과 제로데이 익스플로잇을 암시장에서 거액을 받고 거래하고 있습니다. 예를 들어 2020년에 해커들은 Zoom 제로데이 관련 자료를 50만 달러에 판매했습니다.
국가 단위 공격자들도 제로데이 결함을 찾는 것으로 알려져 있습니다. 많은 사람들이 발견한 제로데이를 공개하지 않고, 대신 공격자를 상대로 사용할 기밀 제로데이 익스플로잇을 직접 제작합니다. 많은 벤더와 보안 연구자들은 이러한 관행이 조직을 위험에 빠뜨린다고 주장하며 비판합니다.
보안 팀은 제로데이 취약점으로 인해 어려움을 겪는 경우가 많습니다. 이러한 결함은 알려지지 않았고 수정되지 않았기 때문에, 조직은 사이버 보안 위험 관리 또는 취약성 완화에서 이를 반영할 수 없습니다.
그러나 기업은 더 많은 취약점을 발견하고 제로데이 공격의 영향을 줄이기 위해 조치를 취할 수 있습니다.
패치 관리: 공급업체는 제로데이에 대해 알게 되면 서둘러 보안 패치를 배포하지만, 많은 조직이 이러한 패치를 신속하게 적용하는 데 소홀합니다. 공식적인 패치 관리 프로그램은 보안 팀이 이러한 중요한 패치를 최신 상태로 유지하는 데 도움이 될 수 있습니다.
취약점 관리: 심층적인 취약성 평가와 침투 테스트를 통해 기업은 해커들이 먼저 발견하기 전에 자신의 시스템에서 제로데이 취약점을 찾을 수 있습니다.
공격 표면 관리(ASM): 보안 팀은 ASM 툴을 사용하여 네트워크의 모든 자산을 식별하고 취약점을 검사할 수 있습니다. ASM 툴은 해커의 관점에서 네트워크를 평가하며, 위협 행위자가 자산을 악용하여 액세스 권한을 얻는 방법에 집중합니다. ASM 도구는 조직이 공격자의 시점에서 네트워크를 확인할 수 있도록 도와주므로 제로데이 취약점을 발견하는 데 도움이 될 수 있습니다.
위협 인텔리전스 피드: 보안 연구원이 제로데이 취약점을 가장 먼저 발견하는 경우가 많습니다. 외부 위협 인텔리전스를 지속적으로 업데이트하는 조직은 새로운 제로데이 취약점에 대해 더 빨리 알 수 있습니다.
이상 징후 기반 탐지 방법: 제로데이 멀웨어는 시그니처 기반 탐지 방법을 피해갈 수 있지만, 머신 러닝을 사용하여 의심스러운 활동을 실시간으로 탐지하는 툴은 종종 제로데이 공격을 포착할 수 있습니다. 일반적인 이상 징후 기반 탐지 솔루션에는 사용자 및 엔티티 행동 분석(UEBA), 확장 탐지 및 대응(XDR) 플랫폼, 엔드포인트 탐지 및 대응(EDR) 툴, 일부 침입 탐지 및 침입 방지 시스템이 포함됩니다.
제로 트러스트 아키텍처: 해커가 제로데이 취약점을 악용하여 네트워크에 침입하는 경우 제로 트러스트 아키텍처를 사용하면 피해를 제한할 수 있습니다. 제로 트러스트는 지속적인 인증과 최소 권한 액세스를 사용하여 측면 이동을 방지하고 악의적인 행위자가 민감한 리소스에 접근하는 것을 차단합니다.