파이어아이 맨디언트 위협 인텔리전스(Mandiant Threat Intelligence) 팀에 따르면, 제로데이 공격은 2019년에 크게 증가해 지난 한 해 발견된 제로데이 공격 수가 지난 3년간 일어난 공격을 모두 합한 수를 넘어선 것으로 나타났다. 또한 제로데이 취약점을 이용하는 공격 그룹의 유형도 이전보다 확대됐다.
구매한 사이버 공격 도구와 서비스를 이용해 제로데이 취약점을 노리고 공격한 사례는 2017년 말부터 크게 증가했다. 지역적 측면에서는 중동지역을 표적으로 한 제로데이 공격 사례가 증가했으며, 해당 지역과 연관성이 있는 공격그룹에 의한 것으로 관찰됐다.
중동 지역의 주요 제로데이 공격 사례의 하나로 스텔스팔콘(Stealth Falcon)과 프루티아머(FruityArmor)가 있다. 스텔스팔콘과 프루티아머는 주로 중동 지역의 기자 및 사회 운동가를 타깃으로 접근했다. 이스라엘 보안기술 업체 NSO그룹이 판매한 악성코드를 2016년에 이용했으며, 2016년부터 2019년까지 그 어느 그룹보다도 활발하게 제로데이 공격을 이행했다.
샌드캣(SandCat)이라고 불리는 공격 그룹은 우즈베키스탄 국가 정보기관과 관련된 것으로 추정된다. 샌드캣에 의한 제로데이 취약점 공격에는 스텔스팔콘의 공격에 이용된 제로데이 취약점과 같은 것으로 보아, 해당 공격그룹 또한 NSO 그룹과 같은 민간 기업의 악성코드를 구입해 제로데이 공격에 활용됐다.
2016년부터 2017년까지 블랙오아시스(BlackOasis)라고 알려진 공격 그룹은 사이버 공격 무기 딜러인 감마그룸(Gamma Group)을 통해 하나 이상의 제로데이 취약점을 활용한 공격 도구를 취득한 것으로 추정된다.
기타 개별 기업에서 제공하는 툴을 이용한 제로데이 공격 사례는 ▲2019년에 알려진 왓츠앱(WhatsApp) 제로데이 취약점(CVE-2019-3568) 공격은 NSO 그룹이 개발한 스파이웨어 배포에 악용한 사례 ▲러시아 헬스케어 기관을 표적으로 한 2018년 어도비 플래시 제로데이 취약점(CVE-2018-15982) 공격은 해킹팀이라는 이탈리아 기반 스파이웨어를 배포하는 공격 그룹의 소스코드 유출과 관련된 것으로 추정된다. 또한 ▲2019년 10월 보고된 안드로이드 제로데이 취약점(CVE-2019-2215) 공격에 NSO 그룹의 도구가 사용된 것으로 추정 등이 있다.
파이어아이는 제로데이 취약점 공격을 조사한 결과, 민간조직에서 다수의 제로데이 취약점을 활용한 공격 도구를 사용한 공격 비중이 높아지고 있음을 확인했다. 공격그룹에 이러한 공격도구를 제공하는 민간조직이 증가하고 있고, 제로데이 취약점을 악용한 공격 사례는 늘어날 것으로 전망했다.
파이어아이는 제로데이 취약점에 접근하는 공격그룹 증가세를 피해갈 수 없으며, 공격그룹이 지닌 역량과 투자 규모로 미루어볼 때 방어기술 발전보다 공격이 빠른 속도로 발전할 것으로 보인다고 밝혔다. editor@itworld.co.kr