제로데이 익스플로잇(exploit)은 컴퓨터 소프트웨어, 하드웨어 또는 펌웨어의 알려지지 않았거나 해결되지 않은 보안 결함을 활용하는 사이버 공격 벡터 또는 기법입니다. '제로데이'는 소프트웨어 또는 디바이스 공급업체가 결함을 수정할 시간이 제로, 즉 전혀 없다는 사실을 의미합니다. 이는 악의적인 공격자가 이미 취약한 시스템에 액세스하는 데 결함을 이용했을 수 있기 때문입니다.
알려지지 않았거나 해결되지 않은 취약점을 제로데이 취약점 또는 제로데이 위협이라고 합니다. 제로데이 공격은 악의적인 공격자가 제로데이 익스플로잇을 사용하여 멀웨어를 심거나, 데이터를 훔치거나, 기타 방식으로 사용자와 조직 또는 시스템에 피해를 입히는 것을 말합니다.
이와 유사하지만 별개의 개념인 제로데이 멀웨어는 시그니처가 알려지지 않았거나 아직 사용할 수 없는 바이러스 또는 다른 형태의 멀웨어로, 대다수 안티바이러스 소프트웨어 솔루션이나 기타 시그니처 기반 위협 탐지 기술로는 발견할 수 없습니다.
IBM의 X-Force Threat Intelligence 팀은 1988년 이후 지금까지 7,327개의 제로데이 취약점을 기록했습니다. 이는 기록된 전체 취약점의 3%에 불과하지만, 제로데이 취약점, 특히 널리 사용되는 운영 체제나 컴퓨팅 디바이스의 취약점은 가장 심각한 보안 위험 중 하나입니다. 공급업체나 사이버 보안 커뮤니티가 문제를 파악하고 솔루션을 출시하기 전까지 수많은 사용자 또는 조직 전체가 사이버 범죄에 노출될 수 있기 때문입니다.
제로데이 취약점은 운영 체제, 앱 또는 디바이스의 새 버전이 출시되는 순간부터 존재하지만 소프트웨어 공급업체나 하드웨어 제조업체는 이를 알지 못합니다. 이 취약점은 누군가 발견할 때까지 며칠, 몇 달 또는 몇 년 동안 탐지되지 않을 수 있습니다.
보안 연구원이나 소프트웨어 개발자가 위협 행위자보다 먼저 결함을 발견하는 것이 가장 좋은 시나리오입니다. 하지만 때로는 해커가 먼저 취약점을 발견하기도 합니다.
결함을 발견한 주체가 누구든 상관없이 결함은 얼마 지나지 않아 공개되는 경우가 많습니다. 공급업체와 보안 전문가는 일반적으로 고객에게 결함을 알려 고객이 예방 조치를 취할 수 있도록 합니다. 해커는 이러한 위협을 해커들 간에 공유할 수 있으며, 연구원은 사이버 범죄 활동을 관찰하다가 이러한 위협에 대해 알게 될 수도 있습니다. 몇몇 공급업체는 소프트웨어 업데이트나 기타 수정 사항을 개발할 때까지 취약점을 기밀로 유지할 수 있지만, 이러한 방식은 공급업체가 패치를 적용하기 전에 해커가 결함을 발견하면 조직이 무방비 상태로 노출될 수 있으므로 위험한 도박이 될 수 있습니다.
새로운 제로데이 결함에 대한 정보가 알려지면 이 결함을 해결하기 위해 노력하는 보안 전문가와 이 취약점을 이용해 시스템에 침입하는 제로데이 익스플로잇을 개발하려는 해커 간의 경쟁이 시작됩니다. 해커는 실행 가능한 제로데이 익스플로잇을 개발하면 곧바로 이를 사용하여 사이버 공격을 시작합니다.
보안 팀이 패치를 개발하는 것보다 더 빨리 해커가 익스플로잇을 개발하는 경우가 많습니다. 한 추정치(ibm.com 외부 링크)에 따르면, 취약점이 공개된 후 보통 14일 이내에 익스플로잇을 할 수 있다고 합니다. 그러나 제로데이 공격이 시작되고 나면 패치는 단 며칠 만에 나오는 경우가 많습니다. 이는 공급업체가 공격에서 얻은 정보를 사용해 해결이 필요한 결함을 정확히 찾아낼 수 있기 때문입니다. 따라서 제로데이 취약점은 위험할 수 있지만, 일반적으로 해커가 이 취약점을 오래 이용(익스플로잇)할 수는 없습니다.
Stuxnet은 Microsoft Windows 운영 체제의 제로데이 소프트웨어 취약점 네 가지를 악용한 정교한 컴퓨터 웜입니다. 2010년 이란의 핵 시설에 대한 일련의 공격에 Stuxnet이 사용되었습니다. Stuxnet 웜은 원자력 발전소의 컴퓨터 시스템에 침입한 후 우라늄 농축에 사용되는 원심분리기에 악의적인 명령을 전송했습니다. 이 명령으로 인해 원심분리기가 너무 빠르게 회전하여 고장이 나고 말았습니다. 결과적으로 Stuxnet은 원심분리기 총 1,000대를 손상시켰습니다.
연구원들은 미국과 이스라엘 정부가 협력하여 Stuxnet을 개발한 것으로 보고 있지만, 아직 확인되지 않았습니다.
Log4Shell은 오류 메시지를 로깅하는 데 사용되는 오픈 소스 Java 라이브러리인 Log4J의 제로데이 취약점입니다. 해커는 Log4Shell 결함을 이용해 Java 앱을 실행하는 거의 모든 디바이스를 원격으로 제어할 수 있습니다. Log4J는 Apple iCloud 및 Minecraft와 같은 인기 프로그램에서 사용되기 때문에 디바이스 수억 대가 위험에 노출되었습니다. MITRE의 일반적인 취약점 및 노출(CVE) 데이터베이스는 Log4Shell에 10점 만점에 10점이라는 가장 높은 위험 점수를 부여했습니다.
Log4Shell 결함은 2013년부터 존재했지만, 해커들이 이를 악용하기 시작한 것은 2021년부터였습니다. 이 취약점은 발견 직후 패치가 적용되었지만, 보안 연구원들은 최고조 시점 기준으로 분당 100건 이상을 기록한 Log4Shell 공격을 탐지했습니다(ibm.com 외부 링크).
2022년 초, 북한 해커들은 Google Chrome 웹 브라우저의 제로데이 원격 코드 실행 취약점을 악용했습니다. 해커들은 피싱 이메일을 사용하여 피해자를 스푸핑된 사이트로 이동시켰으며, 이 사이트는 Chrome 취약점을 이용해 피해자의 컴퓨터에 스파이웨어와 원격 액세스 멀웨어를 설치했습니다. 이 취약점이 발견된 후 패치가 적용되었지만 해커들은 흔적을 잘 감추었고, 연구원들은 어떤 데이터가 도난당했는지 정확히 알지 못하게 되었습니다.
제로데이 공격은 가장 방어하기 어려운 사이버 위협 중 하나입니다. 해커는 공격 대상이 제로데이 취약점을 인지하기도 전에 이를 악용하여 위협 행위자가 탐지되지 않은 채 네트워크에 몰래 침투하도록 할 수 있습니다.
취약점이 알려진 경우라 할지라도 소프트웨어 공급업체가 패치를 릴리스하기까지 시간이 걸릴 수 있으며, 그 사이 조직이 위험에 노출될 수 있습니다.
최근 몇 년 동안 해커는 제로데이 취약점을 더 자주 악용했습니다. 2022년 Mandiant 보고서에 따르면 2018~2020년 제로데이 취약점이 악용된 수를 모두 합친 것보다 2021년 악용된 수가 더 많은 것으로 나타났습니다(ibm.com 외부 링크).
제로데이 공격의 증가는 기업 네트워크가 점점 더 복잡해지고 있다는 사실과 관련이 있을 것입니다. 오늘날 조직은 클라우드 및 온프레미스 앱, 회사 소유 및 직원 소유의 디바이스, 사물인터넷(IoT) 및 운영 기술(OT) 디바이스를 혼합하여 사용하고 있습니다. 이 모든 것으로 인해 조직의 공격 표면 규모가 확장되며, 제로데이 취약점이 어느 곳에나 도사리고 있을 수 있습니다.
제로데이 결함은 해커에게 매우 유용한 기회를 제공하기 때문에 사이버 범죄자들은 제로데이 취약점과 제로데이 익스플로잇을 암시장에서 거액을 받고 거래하고 있습니다. 예를 들어 2020년에 해커들은 Zoom 제로데이 관련 자료를 50만 달러(ibm.com 외부 링크)에 판매했습니다.
국가 단위 공격자들도 제로데이 결함을 찾는 것으로 알려져 있습니다. 많은 사람들이 발견한 제로데이를 공개하지 않고, 대신 공격자를 상대로 사용할 기밀 제로데이 익스플로잇을 직접 제작하는 것을 선호합니다. 많은 공급업체와 보안 연구원들은 이러한 관행이 무방비 상태의 조직을 위험에 빠뜨린다고 주장하며 이를 비판하고 있습니다.
보안 팀은 제로데이 취약점으로 인해 어려움을 겪는 경우가 많습니다. 이러한 결함은 알려지지 않았고 패치되지 않았기 때문에, 조직은 사이버 보안 관리 또는 취약성 완화 노력에서 이 결함을 고려할 수 없습니다.
그러나 기업이 더 많은 취약점을 발견하고 제로데이 공격의 영향을 줄이기 위해 취할 수 있는 조치가 있습니다.
패치 관리: 공급업체는 제로데이에 대해 알게 되는 즉시 보안 패치를 서둘러 배포하지만, 많은 조직이 이러한 패치를 신속하게 적용하는 것을 소홀히 합니다. 이러한 중요한 패치는 보안 팀이 공식 패치 관리 프로그램을 사용하여 최신 상태를 유지할 수 있습니다.
취약점 관리: 기업은 심층적인 취약성 평가와 침투 테스트를 통해 해커보다 먼저 시스템에서 제로데이 취약점을 발견할 수 있습니다.
공격 표면 관리(ASM): 보안 팀은 ASM 툴을 사용하여 네트워크의 모든 자산을 식별하고 취약점을 검사할 수 있습니다. ASM 툴은 해커의 관점에서 네트워크를 평가하며, 위협 행위자가 자산을 악용하여 액세스 권한을 얻는 방법에 집중합니다. ASM 툴은 조직이 공격자의 눈으로 네트워크를 볼 수 있도록 지원하므로 제로데이 취약점을 발견하는 데 도움이 될 수 있습니다.
위협 인텔리전스 피드: 보안 연구원이 제로데이 취약점을 가장 먼저 발견하는 경우가 많습니다. 외부 위협 인텔리전스를 지속적으로 업데이트하는 조직은 새로운 제로데이 취약점에 대해 더 빨리 알 수 있습니다.
이상 징후 기반 탐지 방법: 제로데이 멀웨어는 시그니처 기반 탐지 방법을 피해갈 수 있지만, 머신 러닝을 사용하여 의심스러운 활동을 실시간으로 탐지하는 툴은 종종 제로데이 공격을 포착할 수 있습니다. 일반적인 이상 징후 기반 탐지 솔루션에는 사용자 및 엔티티 행동 분석(UEBA), 확장 탐지 및 대응(XDR) 플랫폼, 엔드포인트 탐지 및 대응(EDR) 툴, 일부 침입 탐지 및 침입 방지 시스템이 포함됩니다.
제로 트러스트 아키텍처: 해커가 제로데이 취약점을 악용하여 네트워크에 침입하는 경우 제로 트러스트 아키텍처를 사용하면 피해를 제한할 수 있습니다. 제로 트러스트는 지속적인 인증과 최소 권한 액세스를 사용하여 측면 이동을 방지하고 악의적인 행위자가 민감한 리소스에 접근하는 것을 차단합니다.
조직의 사이버 복원력을 빠르게 개선하세요. 디지털 발자국의 확장을 관리하고 새도우 IT를 밝혀내며, 적대적 유혹에 기반한 상관관계가 있는 사실적 결과를 통해 목표를 달성할 수 있습니다.
SOC 전문가의 81%는 수동 조사로 인해 조사 속도가 느려진다고 합니다.1 AI와 자동화로 구축된 통합 분석가 환경을 갖춘 현대화된 보안 기술인 IBM Security QRadar® Suite로 경보에 대한 조사를 빠르게 할 수 있습니다.
결함을 식별하고 우선순위를 지정하며 해결 방법을 관리하는 취약성 관리 프로그램을 도입하여, 공격에 대한 저항력을 강화하고 해결 시간을 단축하여 규정 준수를 유지하는 데 필요한 지원을 받아 보세요.
각주
1 글로벌 보안 운영 센터 연구 결과(PDF), Morning Consult가 수행하고 IBM이 의뢰, 2023년 3월