지난 해 제로데이 공격이 그 어느 때보다 많았다는 연구 결과가 두 개나 발표됐습니다. 제로데이 취약점은 국가 지원 해커들만 하던 것이라 일반적인 조직들은 대비하지 않아도 된다는 게 중론이었는데, 이제는 아닙니다.
2021년, 사이버 공격자들은 역사상 가장 많은 제로데이 취약점을 발굴하고 익스플로잇 했습니다. 특히 마이크로소프트, 구글, 애플의 소프트웨어들에서 많은 제로데이 취약점들이 나온 것으로 조사됐습니다. 제로데이 공격을 주로 실시한 건 국가의 지원을 받는 해킹 단체들이지만, 금전적 이득을 노리는 민간 해킹 그룹들 역시 제로데이 취약점을 익스플로잇 하는 데에 주저하지 않았습니다. 특히 랜섬웨어 단체들이 제로데이 익스플로잇을 적극 채용했습니다.
[이미지 = freepik]
이번 주 제로데이 익스플로잇에 대한 보안 권고문이 맨디언트(Mandiant)와 구글(Google)에서 하나씩 나왔습니다. 둘 다 지난 해 제로데이 취약점 발굴 및 익스플로잇 행위가 급증했다는 결론을 내리고 있습니다. 하지만 둘이 제시한 숫자 자체는 조금 달랐습니다. 맨디언트는 2021년 한 해 동안 익스플로잇 된 제로데이 취약점이 80개라고 집계한 반면 구글은 58개라고 밝혔습니다.
먼저 맨디언트의 설명에 따르면 80개라는 수는 2020년에 나타난 제로데이 취약점보다 167% 증가한 것이라고 합니다. 2020년 제로데이 취약점은 30개였습니다. 구글의 58개는 2020년에 비해 2배 이상 증가한 수이며(2020년의 제로데이는 25개), 구글 기준 가장 많은 제로데이 취약점이 발굴됐던 2015년에 비해서도 2배 이상(당시 28개)이라고 합니다.
익스플로잇된 제로데이 취약점들 중 75%가 구글, 마이크로소프트, 애플의 소프트웨어에서 나온 것으로 분석되기도 했습니다. 이는 세 회사의 소프트웨어 사용자들이 전 세계적으로 분포되어 있기 때문인 것으로 보입니다. 구글은 2014년부터 매해 제로데이 취약점들을 스프레드시트에 정리해 공개하는데, 작년 발견된 58개 취약점들 중 16개가 구글의 제품에서 나온 것이었습니다. 마이크로소프트 제품에서는 21개, 애플 제품에서는 13개가 나왔습니다.
맨디언트의 수석 분석가인 제임스 사도우스키(James Sadowski)는 “기업들이 더 이상 제로데이 취약점을 간과해서는 안 된다는 것이 이번 연구의 결론”이라고 설명합니다. “제로데이 공격은 특출한 소수의 해커들만 하는 것이며, 따라서 제로데이 공격에 대비하는 건 방어 효율을 낮추는 것이라는 생각들이 만연합니다. 과거에는 맞는 말이었습니다만, 지금은 아닙니다. 그 동안 제로데이 공격 능력이 서서히 해커들 사이에 보급되었거든요.”
제로데이 보편화의 이유들
그렇다면 작년 제로데이 취약점 익스플로잇이 폭발적으로 늘어난 이유는 무엇일까요? 맨디언트는 여러 가지를 추정하고 있습니다. 첫 번째는 기업들이 팬데믹 상황에 적응하느라 클라우드, 모바일, 사물인터넷 등의 신기술들을 빠르고 급하게 도입한 것이라고 맨디언트는 짚습니다. “기업들이 새롭게 도입한 소프트웨어가 대폭 늘어났습니다. 그에 따라 취약점들도 늘어난 것이죠.”
여기에 더해 다크웹에 ‘최초 접근 브로커’라는 사업자들이 늘어난 것도 중요한 요인이라고 맨디언트는 설명을 이어갑니다. 이들은 특정 조직이나 소프트웨어에 대한 접근 경로만 확보해 두고, 그 경로 자체를 판매하는 자들입니다. 최초 접근의 방법 중 취약점 익스플로잇이 큰 비중을 차지하고 있으며, 제로데이 취약점 역시 이들이 중요하게 다루고 있습니다. 한편 구글은 제로데이 취약점 탐지 기술이 발전한 것을 주요 이유로 꼽습니다. 이 부분은 맨디언트도 주요하게 꼽은 이유 중 하나입니다.
제로데이 취약점 익스플로잇을 즐겨 하는 건 특히 중국의 APT 그룹이라고 두 업체는 지적했습니다. 하지만 민간 랜섬웨어 단체들 사이에서도 제로데이 익스플로잇 사례가 늘어나고 있음을 기억해야 한다고 경고하기도 했습니다. “APT 단체들이 공격의 유행을 선도하면 민간 해킹 단체들이 따라옵니다. 제로데이 익스플로잇도 APT가 사용하고 나면 그것이 다크웹 암시장 안으로 흘러들어갑니다. 그러면서 공격자들의 수준이 상향평준화 되는 것이죠.”
사도우스키는 랜섬웨어 공격자들이 돈을 많이 벌기 시작하면서 제로데이 익스플로잇 활동이 활성화 되기 시작했다는 부분을 짚습니다. “결국 제로데이 취약점 연구라는 건 자원을 많이 필요로 하는 일입니다. 기술적으로 쉽지 않은 일이죠. 다만 제로데이 취약점과 익스플로잇 방법을 찾아냈을 때의 효과가 크게 때문에 많은 자원을 투자하는 것이고, 그래서 국가 지원 해커들만 했던 건데, 이걸 민간 단체들도 할 수 있게 되었다는 건 심각한 일입니다.”
한편 비아쿠(Viakoo)의 CEO 버드 브룸헤드(Bud Broomhead)는 “보안 솔루션이 놀랍게 발전했고, 그래서 그걸 우회하는 방법을 찾다 찾다 결국 제로데이 취약점 익스플로잇의 보편화에까지 이른 것 같다”는 의견입니다. “보안 장치들을 우회하는 방법들로서 사물인터넷 해킹, 공급망 공격, 오픈소스 감염 등이 연구되고 있고, 실제 이 세 가지 사건 사고는 빠르게 증가 중에 있습니다. 공격자들은 결국 현대화 된 보안 솔루션들에 들키지 않는 방법을 찾고 있는 겁니다.”
그렇다면 기업들은 이에 대해 어떤 대처법을 마련해야 할까요? 보안 업체 넷엔리치(Netenrich)의 수석 위협 분석가인 존 밤베넥(John Bambenek)은 “시간을 단축시킬 수 있는 패치 관리 시스템을 전사적으로 마련하는 게 가장 중요하다”고 설명합니다. “알려지지 않은 취약점들도 충분히 공략당할 수 있다는 걸 인지하고 능동적으로 취약점을 찾아나서는 방식의 보안 전략이 필요합니다. 사후 대처 방식만을 고수해서는 제로데이 익스플로잇에 당할 수밖에 없습니다.”
출처 : 보안뉴스 정보유출, DLP, GRADIUSDLP, 그라디우스, 데이터유출, 정보유출방지, 내부정보유출방지, 취약점, 시큐어코딩, 취약점진단, 취약점점검, 스패로우, sparrow, vada, 시스템취약점진단