구글 프로젝트 제로(Google Project Zero)는 올 상반기에 20여 가지의 제로데이 취약점을 발견했다. 대부분은 마이크로소프트, 애플, 구글이 개발한 제품에서 발견된 것이고 브라우저와 운영체제의 제로데이가 큰 비중을 차지한다. 6월 7일 아틀라시안의 컨플루언스 서버(Confluence Server)에서 발견된 치명적인 REC(Remote Code Execution) 취약점도 계속 악용되고 있는 상황이다.
2021년 발견된 제로데이 취약점의 수는 훨씬 많았다. 구글 프로젝트 제로는 2021년에만 58가지의 취약점을 발견했다. 맨디언트가 발견한 제로데이 취약점은 80가지였는데, 2020년보다 2배 이상 많았다. 맨디언트 수석 애널리스트 제임스 새도스키는 “발견되는 모든 제로데이는 발생할 수 있는 공격에 대한 이해를 넓히고 같거나 다른 기술에서 유사한 취약점을 찾아내는 데 도움이 된다. 더 많이 볼수록 더 많이 검출할 수 있다”라고 말했다.
제로데이 취약점 공격은 국가 후원을 받는 공격 단체가 주도하고 있지만, 일반적인 사이버 범죄자들도 만만치 않게 악용한다. 맨디언트에 따르면, 2021년 제로데이 취약점을 악용한 위협 행위자 3명 중 1명은 금전적인 동기를 지니고 있었다. 제로데이 취약점 공격 증가와 다양한 유형의 위협 행위자는 규모에 관계없이 기업에는 우려의 대상이다. 다른 관점에서는 보안 업계에 귀중한 학습 기회를 제공한다.
오래된 패턴을 따르는 제로데이 취약점
2021년 발견된 제로데이 취약점의 수는 기록적이지만, 실제로는 더 많을 수 있다. 구글 프로젝트 제로의 보안 연구원 매디 스톤은 “공격자가 자신이 악용한 제로데이 취약점을 일일이 공유하는 것은 아니므로 우리가 집계한 수치는 악용된 제로데이 취약점 수라기보다는 현실에서 검출되고 공개된 취약점이다”라고 말했다.프로젝트 제로가 관리하는 공개 스프레드시트에 따르면, 2022년 상반기에 가장 많은 표적이 된 제품은 윈도우, iOS/맥OS, 크롬, 파이어폭스였다. 2021년 발견된 제로데이 58가지 가운데 14가지는 크롬 브라우저의 취약점이었으며, REC 버그 10가지, 샌드박스 이스케이프(sandbox escapes) 2가지, 정보 유출 취약점 1가지, 안드로이드 앱에서 웹페이지를 여는 데 쓰이는 취약점이 1가지 있었으며, 그 밖에는 인터넷 익스플로러, 윈도우, iOS, 안드로이드, 마이크로소프트 익스체인지 서버의 결함이었다. 프로젝트 제로에 따르면, 지난해 클라우드에 대한 제로데이 취약점은 알려진 바 없었다.
새도스키는 “위협 행위자는 계속해서 온프레미스 환경의 제로데이 취약점 악용에 집중할 것으로 보인다. 더 익숙하기도 하고 훨씬 광범위하게 사용되기 때문이다. 하지만 VPN 같은 기술에 대한 제로데이 취약점 공격의 증가는 클라우드 솔루션의 취약점을 직접 악용하지 않고 기업 네트워크로 향하는 성공적인 경로를 제공할 수 있다”고 지적했다.
제로데이 취약점 대부분은 과거에 보였던 버그와 패턴이 같았다. 보안 연구원들은 낡은 기법이 효과가 있는 한 악의적인 행위자의 악용은 계속될 것이라고 지적한다. 예를 들어, 프로젝트 제로가 발견한 제로데이 취약점의 2/3가 메모리 변조 취약점이었는데, 이들 중 대부분이 UAF(Use-After-Free), OOB 읽기/쓰기(Out-Of-Bounds Read/Write), 버퍼 오버플로우, 정수 오버플로우와 같은 보편적인 버그 계층에 속했다.
이는 악성코드 작성자가 동일한 패턴 사용을 선호하기 때문일 수도 있지만, 새도스키가 말한 것처럼 보안 커뮤니티가 “새로운 기법을 자주 검출하지 못하는” 것일 수도 있다. 새도스키는 “제로데이 취약점 검출은 실체나 외형을 모른 채 무언가를 검출하는 것이기 때문에 어렵다”라고 말했다.
제로데이 취약점 공격이 늘어난 이유
보안 연구원들은 제로데이 취약점이 지난 1년 반 동안 이렇게 많이 검출된 이유에 대해 여러 이론을 펼쳤다. 가장 그럴듯한 것은 여러 요소의 결합 때문이라는 의견이다. 새도스키는 “금전적 동기의 제로데이 취약점 악용의 증가, 제로데이 취약점을 악용하는 사이버 스파이의 부활, 서드파티 익스플로잇 브로커의 증가가 2021년 전례 없는 수준으로 목격됐다”라고 설명했다.소프트웨어의 범위와 복잡성이 증가한 것도 원인 중 하나다. 트렌드 마이크로(Trend Micro)의 제로데이 이니셔티브 소통 매니저인 더스틴 차일즈는 “공격 표면이 어느 때보다 크다. 찾아내서 악용할 취약점이 비옥한 땅”이라고 말했다. 코로나19 팬데믹의 여파로 2020년 검출이 더뎠던 것 역시 2021년 제로데이 취약점 급증에 영향을 미쳤다.
검출한 것을 공개하는 경우가 많아진 것도 한몫한다. 스톤은 “2021년은 애플과 안드로이드가 알려진 취약점을 공개적으로 발표한 최초의 해였다. 공개하지 않았으면 업계는 알지 못했을 취약점이 최소 12가지는 된다”라고 말했다. 따라서 스톤은 모든 솔루션 업체가 악용되어온 취약점을 패치할 때 보안 커뮤니티에 알려야 한다고 강조했다. 애플과 안드로이드가 공개하지 않았다면 해당 취약점에 대해 이야기하는 보안 연구원도 없었을 것이므로 익명으로 신고된 제로데이 취약점들은 세상에 알려지지 않았을 것이다.
제로데이 취약점 공격의 특징
제로데이 취약점 대부분은 국가의 후원을 받는 위협 행위자가 악용한다. 가장 활발한 곳은 중국 단체다. 맨디언트에 따르면, 중국은 2012년부터 2021년까지 그 어떤 국가보다 더 많이 제로데이 취약점을 악용했다. 2021년 맨디언트는 최소 8건의 제로데이 취약점 공격이 중국과 관련됐으며, 2건은 러시아, 1건은 북한과 연계된 것을 발견했다.다수의 중국 스파이 활동 단체가 프록시로그온(ProxyLogon)이라고 알려진 4개의 익스체인지 서버 취약점을 악용했다. 마이크로소프트는 전술 및 절차에 근거해 하프늄(Hafnium)이 이들 취약점을 악용한 캠페인을 벌인 것으로 확신했다.
맨디언트는 보고서를 통해 “표적을 신중하게 선택하는 단체도 있었으며, 사실상 모든 산업 및 지역에서 수만 대의 서버를 훼손한 단체도 있었다. 2020년 및 2021년 중국의 사이버 스파이 활동을 보면 베이징이 피해 국가의 공식 정부 성명과 비난에 개의치 않음을 알 수 있다”라고 설명했다.
러시아가 후원하는 단체는 2020년보다 제로데이 취약점 공격이 상대적으로 줄었다. 가령 팬시 베어(Fancy Bear), 스트론튬(Strontium), 소파시(Sofacy)라고 알려진 그룹인 APT28은 2021년 말까지 마이크로소프트 엑셀의 제로데이 취약점만 악용했다. 하지만 2020년과 2021년에 몇 가지 제로데이 취약점을 악용한 다른 러시아 후원 단체도 있다. 대표적으로 에너제틱 베어(Energetic Bear, 드래곤플라이 2.0(Dragonfly 2.0), 베르세르크(Berserk), 템프아이소토프(TEMP.Isotope)로도 알려짐)는 소포스 방화벽 제품의 제로데이 취약점으로 핵심 인프라 네트워크를 공격했을 수 있다.
제로데이 취약점 공격은 주로 국가가 후원하는 단체의 영역이지만, 다른 사이버 단체의 제로데이 취약점 악용 실력도 늘고 있다. 맨디언트는 랜섬웨어 공격 단체가 진행하는 제로데이 취약점 공격의 규모과 정교함이 크게 증가한 것을 목격했다.
여기에는 몇 가지 이유가 있다. 첫째, 랜섬웨어 공격 단체가 갈수록 번성하고 있기 때문이다. 따라서 고도로 숙련된 사람을 영입하거나 값비싼 서비스에 돈을 지불할 수 있다. 둘째, 랜섬웨어 세계의 전문가의 네트워크가 확장되어서다.
제로데이 취약점을 악용한 여러 랜섬웨어 단체 가운데 UNC2447 솜브렛(SombRAT)은 소닉월(SonicWall)의 버그를 악용했다. 사용자 이름, 비밀번호, 세션 정보로 액세스할 수 있는 중대한 SQL 취약점으로, 공격자는 이를 패치되지 않은 SMA 100 시리즈 기기에 로그인하는 데 사용할 수 있었다.
범죄 단체는 최근 발견되었으나 아직 패치되지 않은 취약점도 이용한다. 때때로 취약점을 발견한 연구원은 좌절감에, 또는 솔루션 업체를 압박하기 위해 이런 취약점에 대한 개념 증명을 발표하는데, 이는 공격자에게 시간을 벌어준다.
사이버 범죄 단체는 보안 세계에서 일어나는 일을 낱낱이 주시하므로 이런 일은 앞으로도 계속 발생할 것이다. 새도스키는 “악의적 행위자는 공개적인 발표, 과거의 제로데이 분석을 통해 자신의 취약점을 분석하고 악용을 촉진할 것이다”라고 강조했다.
값비싸지는 제로데이 취약점
지난 1년 반 동안 제로데이 취약점의 양만 증가한 것이 아니다. 회색시장이나 암시장에서 버그를 발견한 사람에게 제시되는 금액도 높아졌다. 취약점 매입 플랫폼 제로디움(Zerodium)은 아무런 사용자 상호작용 없이 원격으로 수행할 수 있는 iOS 탈옥 취약점에 최대 200만 달러, 안드로이드의 탈옥 취약점에 250만 달러를 지급한다. 스톤은 “제로클릭 취약점은 원클릭보다 수요가 높다. 사용자의 상호작용을 요구하지 않기 때문이다”라고 말했다. 다른 제로데이 취약점은 상대적으로 저렴하다. 예컨대 왓츠앱과 아이메시지의 결함은 최대 150만 달러이며, 페이스북 메신저와 시그널, 텔레그램의 취약점은 그레이마켓에서 최대 50만 달러에 판매된다. 크롬 취약점은 최대 50만 달러이며, 사파리, 엣지, 파이어폭스 버그는 10만 달러까지 호가한다.
트렌드 마이크로의 제로데이 이니셔티브도 그 정도 가격을 제시하지만, 공개 시장에서 활동하는 데다가 화이트햇 해커와 기업의 중개인 역할을 한다. 취약점의 가격을 책정할 때는 ‘수요, 효과, 안정성’과 같이 여러 요소가 고려된다. 공격 벡터가 인증이나 사용자 상호작용을 요구하지 않으면 가격이 올라간다. 차일즈에 따르면, 소프트웨어 사용자 수도 가격 책정에 일조한다. 잠재적 피해 집단의 규모가 크면 클수록 가격이 높아진다. 차일즈는 “취약점 시장도 여느 시장과 다르지 않다. 가격을 등락시키는 여러 요소가 존재한다”라고 말했다.
제로데이 취약점 보호 및 개선 방안
국가가 후원하는 해커와 사이버 범죄자의 제로데이 취약점 악용 비율이 갈수록 높아지면서 제로데이 취약점에서 기업의 시스템을 보호해야 할 필요성도 커졌다. 제로데이 취약점은 미지의 영역에 있지만, 보안팀이 공격 위험을 줄일 방법이 여전히 존재한다. 핵심적인 보호 요소는 패치다. 패치는 신속히 수행해야 한다. 광범위하게 사용되는 자산이라면 특히 그렇다. 예를 들어, 아틀라시안은 중요한 컨플루언스 서버 버그를 개선하는 보안 패치를 배포했지만, 이를 빨리 배포한 기업은 많지 않았다. 소포스는 다수의 단체가 이 취약점을 악용해 케르베르(Cerber) 랜섬웨어, 미라이(Mirai) 봇 변종, 제로마이너(z0miner) 암호화폐 채굴기를 배포한 것을 발견했다. 기업이 모든 소프트웨어 및 하드웨어 자산의 최신 목록을 보유하고 있고, 각 자산의 구입일과 예상 수명 종료일을 알고 있으면 도움이 된다.
보안 연구원들은 기업이 자신의 네트워크의 구성을 적절히 설정해 공격자가 한 장소에서 다른 장소로 이동하는 것을 어렵게 만드는 것이 좋다고 조언했다. 보안 담당자는 수상한 행동을 찾아야 하며, 직원과 파트너사가 적절한 보안 조치를 시행하고 있는지 확인해야 한다.
소프트웨어 솔루션 업체도 도움이 될 수 있다. 차일즈는 “올바른 보안 패치가 필수적이다. 일단 패치가 배포되면 악의적 행위자는 패치가 고치려고 하는 취약점을 찾기 위해 패치를 리버스 엔지니어할 것이기 때문이다. 솔루션 업체가 패치를 배포하고 버그의 위치를 알리기 전까지는 버그를 찾기 힘들다. n일 동안 알려진 n데이 취약점 공격은 항상 제로데이보다 더 인기가 많았다”라고 말했다.
구글 프로젝트 제로의 스톤은 시스템의 작동 방식을 약간 변경하기를 조언했다. 스톤은 “취약점을 패치하는 일은 업계 표준이지만, 각 익스플로잇 기법을 완화하는 일은 그렇게 일반적이지 않다.하지만 익스플로잇 기법 완화가 일상적으로 진행된다면 공격자는 제로데이 취약점 공격을 개발할 때마다 새로운 공격 기술까지 개발해야 할 것”이라고 덧붙였다.
editor@itworld.co.kr