제로데이 취약점 공격이란?

사이버 보안(Cybersecurity)과 관련된 용어로 ‘제로 데이’라는 문구를 들어보신 적이 있으실 겁니다. 제로데이(zero day)는 온라인 게시판에서 새로운 소프트웨어가 공개적으로 배포된 날을 의미하던 단어입니다. 공급업체나 개발자가 해당 결함을 인지할 수 있는 시간이 0일, 즉 zero day라는 데서 유래한 말입니다.

따라서 제로데이 공격(zero day attack)은 개발자가 결함을 해결할 기회를 갖기 전에 해커가 결함을 악용할 때 발생합니다. 새로운 소프트웨어나 하드웨어 출시일에 개발자가 아직 발견하지 못한 제로데이 취약점(zero day vulnerability)을 노리는 사이버 범죄자들이 존재합니다. 버그, 암호화 부족, 접근 권한 누락 등 모든 것이 제로데이 취약점일 수 있습니다. 이러한 제로데이 취약점 공격 방법을 제로데이 익스플로잇(zero day exploit)이라고 부릅니다.

제로데이 공격이 위험한 이유는 해킹 공격 시점에 보안의 구멍을 막을 방법이 없다는 것입니다. 소프트웨어 개발자가 이러한 버그의 존재를 전혀 모른다면 문제는 더 심각합니다. 제로데이 취약점이 발견되어 업데이트 패치가 적용되기 전까지 사이버 범죄자는 제로데이를 수개월 또는 수년 동안 악용할 수 있습니다.

제로 데이 익스플로잇에 대해 알아봅시다. 제로데이 익스플로잇은 범죄자들이 제로데이 취약점을 악용하기 위해 사용하는 코드입니다. 취약점을 통해 백도어 설치, 멀웨어 주입, 민감한 정보 탈취 등 제로데이 공격을 수행할 수 있습니다.

제로 데이 공격은 잠재적으로 탐지되지 않고 수행될 수 있기 때문에 이러한 취약점은 매우 중요합니다. 대규모 조직의 취약한 사이버 보안을 통해 이익을 얻으려는 것은 해커뿐만이 아닙니다. 전 세계의 정보 기관도 제로데이 익스플로잇 공격을 시작할 수 있습니다.

제로 데이 취약점을 발견하고, 사고, 판매하는 것이 하나의 산업으로 부상하고 있습니다.

• 블랙 마켓에서는 제로데이 취약점에 대한 정보를 판매하여 범죄자들이 소프트웨어 버그를 악용하는 방법(제로데이 익스플로잇)에 대한 정보를 거래할 수 있도록 합니다.
• 그레이 마켓은 사이버 보안 기업을 대상으로 하며 연구자들이 군대, 정보 기관 및 기타 당국에 정보를 판매할 수 있도록 허용합니다.
• 화이트 마켓에서는 연구자들이 버그가 있는 소프트웨어 개발자에게 정보를 전달합니다. CVE 취약점 데이터베이스 또는 버그 바운티 프로그램과 비슷합니다.

가장 좋은 시나리오는 누군가 제로데이 취약점을 발견하는 즉시 이를 소프트웨어 개발자에게 보고하여 취약점이 악용되기 전에 패치를 적용하는 것입니다. 실제로 사이버 보안 커뮤니티가 지식을 모아 이러한 위협에 함께 대응할 수 있는 데이터베이스가 있습니다. 전세계적으로 유명한 보안 취약점 연구소로는 구글의 프로젝트 제로가 있습니다.

만일 자신이 사용하는 시스템에서 취약점을 찾으면 해당 시스템의 개발사에게 신고하는 것이 좋습니다. 취약점의 심각도에 따라 회사는 해당 취약점을 보고한 사람에게 감사의 의미로 사례하기도 할뿐만 아니라 다른 이들이 피해를 입는 것을 피하도록 돕는 훌륭한 행동입니다.

• Apple 취약점 신고 방법
• Google 취약점 신고 센터

하지만 안타깝게도 해커가 한 발 앞서는 경우도 있습니다. 해커가 공급업체보다 먼저 제로데이 취약점을 발견하면 어떤 일이 발생할까요?

우리 주위에서 악명 높은 제로 데이 공격 사례를 많이 찾아볼 수 있습니다. 역사상 가장 유명한 몇 가지 사건을 살펴보겠습니다.

Stuxnet은 다양한 Windows 제로 데이 취약점을 사용하여 감시 제어 및 데이터 수집(SCADA) 시스템을 표적으로 삼은 컴퓨터 웜입니다. 하드웨어 자체를 망가뜨린 최초의 바이러스이지요.

이 바이러스는 이란의 핵 프로그램에 막대한 피해를 입혔습니다. 이란의 핵 원심분리기의 거의 5분의 1을 파괴하고 무려 20만 대의 컴퓨터를 감염시켰습니다. 이 웜의 배후가 미국과 이스라엘로 추정되며 최초의 사이버 무기 중 하나로 여겨지기도 합니다.

2014년에 발생한 Sony 해킹은 가장 유명한 제로데이 익스플로잇 중 하나로 꼽힙니다. 소니 픽처스 해킹 당시 범죄자들은 제로데이 취약점을 이용해 회사 네트워크에 침입하여 데이터를 훔쳤습니다.

해커들은 이후 개봉 예정 영화 사본, 회사의 미래 계획, 비즈니스 거래, 소니의 최고 경영진 이메일 등 매우 민감한 정보를 공개했습니다. 해커들이 구체적으로 어떤 익스플로잇을 사용했는지는 현재까지도 미스터리로 남아 있습니다.

2017년에 해커들은 마이크로소프트 워드에서 취약점을 발견하고 Dridex 멀웨어를 개발한 후 MS 워드 첨부 파일에 숨겼습니다. 파일을 다운로드한 사용자는 드리덱스 트로이 목마를 활성화하게 됩니다. 이 위험한 은행 사기 멀웨어는 전 세계 수백만 명의 사용자에게 확산되었습니다.

사용자가 보유 중인 앱만 제로데이 공격의 표적이 될 수 있는 것은 아닙니다. 이 블로그 게시물을 읽고 있는 브라우저도 공격에 악용될 수 있습니다.

2020년에 해커가 Firefox의 메모리 내부에 코드를 배치하고 실행할 수 있는 취약점이 있다는 사실이 발견되었습니다. 이를 통해 범죄자들은 피해자의 모든 디바이스에서 악성 코드를 실행할 수 있었습니다. 개발자들은 긴급 패치를 발표했지만 이미 일부 해커가 이를 악용한 후였습니다.

2021년은 크롬 업데이트 제로 데이가 많은 해였습니다. 제로 데이 취약점에 대한 긴급 패치를 세 번이나 발표했기 때문입니다. 이러한 최신 결함으로 인해 영향을 받는 시스템에서는 원격 코드 실행 및 디도스 공격이 행해질 가능성이 훨씬 더 높습니다.

2022년에도 크로미움 제로데이 위기가 있었습니다. 2022년 3월 23일, 익명에 의해 보고된 내용에 의하면, 크로미움 코어를 공유하는 오픈소스 브라우저의 V8 JavaScript Engine에서 Type Confusion 취약점이 발견되었는데, 크로미움을 기반으로 만들어진 모든 브라우저와 모든 프레임워크, 이러한 프레임워크를 기반으로 만들어진 모든 앱, V8을 기반으로 한 모든 자바스크립트 런타임은 상당기간 해당 취약점에 노출되어 있었습니다.

구글 크롬 브라우저를 주로 사용한다면, 크롬 제로데이 공격을 특히 조심해야합니다. 브라우저 확장 프로그램인 크롬 VPN을 사용하여 해킹을 미연에 차단할 것을 추천합니다.

사용 중인 모든 소프트웨어가 제로 데이 위협의 대상이 될 수 있다는 것은 비즈니스에 어떤 의미일까요? 대부분의 조직은 사이버 보안에 있어 소극적인 태도를 보입니다. 이전에 알려진 위협에만 대응하는 사후 대응적인 경향이 있습니다.

하지만 제로 데이의 문제점은 사고 발생 사실을 알게 되었을 때는 이미 너무 늦었다는 것입니다. 그렇기 때문에 제로 데이 보호의 핵심은 사전 예방적 접근 방식입니다. 탐지, 데이터 및 활동 모니터링은 제로 데이 공격을 피하기 위한 첫 번째 단계 중 일부입니다.

그렇다면 어떻게 존재유무를 모르는 위협으로부터 자신을 보호할 수 있을까요? 해커는 제로 데이 취약점을 피싱 등과 같은 다른 공격 방법과 함께 사용하는 경우가 있습니다. 제로데이 공격의 희생양이 될 위험을 낮추는 방법은 다음과 같습니다:

• 최대한 빨리 소프트웨어를 업데이트하세요: 소프트웨어 업데이트에는 종종 중요한 취약점에 대한 패치가 포함되어 있습니다.
• 최신 정보를 확인하세요: 취약점 데이터베이스와 버그 바운티 프로그램은 소프트웨어의 결함을 발견하는 데 필수적입니다.
• 피싱 사기에 주의하세요: 일부 제로 데이 공격은 다른 공격과 결합되었을 때만 작동합니다. 알 수 없는 링크나 이메일 첨부파일을 클릭하지 마세요. 범죄자에게 민감한 데이터를 제공할 수 있습니다.

잠재적인 사이버 위협으로부터 사용자를 보호하기 위해 VPN 및 바이러스 백신 소프트웨어를 사용하세요. VPN은 회사 데이터를 보호하고 잠재적인 피싱 사이트를 차단하는 데 도움이 되며, 그 방법은 다음과 같습니다:

• VPN은 회사 데이터를 보호합니다: VPN은 네트워크에 연결된 모든 기기에서 앱 트래픽을 포함한 모든 온라인 트래픽을 암호화합니다. 직원이 암호화되지 않은 자체 앱을 사용하여 민감한 정보를 전송하는 경우, 범죄자가 이를 쉽게 가로채서 도용할 수 있습니다.
• VPN은 피싱 사이트를 차단합니다: NordVPN에는 악성 멀웨어가 로드된 사이트를 능동적으로 차단하는 바이러스 및 위협 방지 기능이 포함되어 있습니다. 또한, 클릭 시 스파이웨어 및 기타 파일 도용 멀웨어를 퍼뜨리는 것으로 악명 높은 팝업 광고를 차단합니다. 바이러스 및 위협 방지 기능은 다운로드를 스캔하여 멀웨어가 있는 파일을 식별할 수 있습니다.