구글 프로젝트 제로(Google Project Zero)는 올 상반기에 20여 가지의 제로데이 취약점을 발견했다. 대부분은 마이크로소프트, 애플, 구글이 개발한 제품에서 발견된 것이고 브라우저와 운영체제의 제로데이가 큰 비중을 차지한다. 6월 7일 아틀라시안의 컨플루언스 서버(Confluence Server)에서 발견된 치명적인 REC(Remote Code Execution) 취약점도 계속 악용되고 있는 상황이다.
2021년 발견된 제로데이 취약점의 수는 훨씬 많았다. 구글 프로젝트 제로는 2021년에만 58가지의 취약점을 발견했다. 맨디언트가 발견한 제로데이 취약점은 80가지였는데, 2020년보다 2배 이상 많았다. 맨디언트 수석 애널리스트 제임스 새도스키는 “발견되는 모든 제로데이는 발생할 수 있는 공격에 대한 이해를 넓히고 같거나 다른 기술에서 유사한 취약점을 찾아내는 데 도움이 된다. 더 많이 볼수록 더 많이 검출할 수 있다”라고 말했다.
제로데이 취약점 공격은 국가 후원을 받는 공격 단체가 주도하고 있지만, 일반적인 사이버 범죄자들도 만만치 않게 악용한다. 맨디언트에 따르면, 2021년 제로데이 취약점을 악용한 위협 행위자 3명 중 1명은 금전적인 동기를 지니고 있었다. 제로데이 취약점 공격 증가와 다양한 유형의 위협 행위자는 규모에 관계없이 기업에는 우려의 대상이다. 다른 관점에서는 보안 업계에 귀중한 학습 기회를 제공한다.
오래된 패턴을 따르는 제로데이 취약점
2021년 발견된 제로데이 취약점의 수는 기록적이지만, 실제로는 더 많을 수 있다. 구글 프로젝트 제로의 보안 연구원 매디 스톤은 “공격자가 자신이 악용한 제로데이 취약점을 일일이 공유하는 것은 아니므로 우리가 집계한 수치는 악용된 제로데이 취약점 수라기보다는 현실에서 검출되고 공개된 취약점이다”라고 말했다.프로젝트 제로가 관리하는 공개 스프레드시트에 따르면, 2022년 상반기에 가장 많은 표적이 된 제품은 윈도우, iOS/맥OS, 크롬, 파이어폭스였다. 2021년 발견된 제로데이 58가지 가운데 14가지는 크롬 브라우저의 취약점이었으며, REC 버그 10가지, 샌드박스 이스케이프(sandbox escapes) 2가지, 정보 유출 취약점 1가지, 안드로이드 앱에서 웹페이지를 여는 데 쓰이는 취약점이 1가지 있었으며, 그 밖에는 인터넷 익스플로러, 윈도우, iOS, 안드로이드, 마이크로소프트 익스체인지 서버의 결함이었다. 프로젝트 제로에 따르면, 지난해 클라우드에 대한 제로데이 취약점은 알려진 바 없었다.
새도스키는 “위협 행위자는 계속해서 온프레미스 환경의 제로데이 취약점 악용에 집중할 것으로 보인다. 더 익숙하기도 하고 훨씬 광범위하게 사용되기 때문이다. 하지만 VPN 같은 기술에 대한 제로데이 취약점 공격의 증가는 클라우드 솔루션의 취약점을 직접 악용하지 않고 기업 네트워크로 향하는 성공적인 경로를 제공할 수 있다”고 지적했다.
제로데이 취약점 대부분은 과거에 보였던 버그와 패턴이 같았다. 보안 연구원들은 낡은 기법이 효과가 있는 한 악의적인 행위자의 악용은 계속될 것이라고 지적한다. 예를 들어, 프로젝트 제로가 발견한 제로데이 취약점의 2/3가 메모리 변조 취약점이었는데, 이들 중 대부분이 UAF(Use-After-Free), OOB 읽기/쓰기(Out-Of-Bounds Read/Write), 버퍼 오버플로우, 정수 오버플로우와 같은 보편적인 버그 계층에 속했다.
이는 악성코드 작성자가 동일한 패턴 사용을 선호하기 때문일 수도 있지만, 새도스키가 말한 것처럼 보안 커뮤니티가 “새로운 기법을 자주 검출하지 못하는” 것일 수도 있다. 새도스키는 “제로데이 취약점 검출은 실체나 외형을 모른 채 무언가를 검출하는 것이기 때문에 어렵다”라고 말했다.
제로데이 취약점 공격이 늘어난 이유
보안 연구원들은 제로데이 취약점이 지난 1년 반 동안 이렇게 많이 검출된 이유에 대해 여러 이론을 펼쳤다. 가장 그럴듯한 것은 여러 요소의 결합 때문이라는 의견이다. 새도스키는 “금전적 동기의 제로데이 취약점 악용의 증가, 제로데이 취약점을 악용하는 사이버 스파이의 부활, 서드파티 익스플로잇 브로커의 증가가 2021년 전례 없는 수준으로 목격됐다”라고 설명했다.소프트웨어의 범위와 복잡성이 증가한 것도 원인 중 하나다. 트렌드 마이크로(Trend Micro)의 제로데이 이니셔티브 소통 매니저인 더스틴 차일즈는 “공격 표면이 어느 때보다 크다. 찾아내서 악용할 취약점이 비옥한 땅”이라고 말했다. 코로나19 팬데믹의 여파로 2020년 검출이 더뎠던 것 역시 2021년 제로데이 취약점 급증에 영향을 미쳤다.
검출한 것을 공개하는 경우가 많아진 것도 한몫한다. 스톤은 “2021년은 애플과 안드로이드가 알려진 취약점을 공개적으로 발표한 최초의 해였다. 공개하지 않았으면 업계는 알지 못했을 취약점이 최소 12가지는 된다”라고 말했다. 따라서 스톤은 모든 솔루션 업체가 악용되어온 취약점을 패치할 때 보안 커뮤니티에 알려야 한다고 강조했다. 애플과 안드로이드가 공개하지 않았다면 해당 취약점에 대해 이야기하는 보안 연구원도 없었을 것이므로 익명으로 신고된 제로데이 취약점들은 세상에 알려지지 않았을 것이다.
제로데이 취약점 공격의 특징
제로데이 취약점 대부분은 국가의 후원을 받는 위협 행위자가 악용한다. 가장 활발한 곳은 중국 단체다. 맨디언트에 따르면, 중국은 2012년부터 2021년까지 그 어떤 국가보다 더 많이 제로데이 취약점을 악용했다. 2021년 맨디언트는 최소 8건의 제로데이 취약점 공격이 중국과 관련됐으며, 2건은 러시아, 1건은 북한과 연계된 것을 발견했다.다수의 중국 스파이 활동 단체가 프록시로그온(ProxyLogon)이라고 알려진 4개의 익스체인지 서버 취약점을 악용했다. 마이크로소프트는 전술 및 절차에 근거해 하프늄(Hafnium)이 이들 취약점을 악용한 캠페인을 벌인 것으로 확신했다.
맨디언트는 보고서를 통해 “표적을 신중하게 선택하는 단체도 있었으며, 사실상 모든 산업 및 지역에서 수만 대의 서버를 훼손한 단체도 있었다. 2020년 및 2021년 중국의 사이버 스파이 활동을 보면 베이징이 피해 국가의 공식 정부 성명과 비난에 개의치 않음을 알 수 있다”라고 설명했다.
러시아가 후원하는 단체는 2020년보다 제로데이 취약점 공격이 상대적으로 줄었다. 가령 팬시 베어(Fancy Bear), 스트론튬(Strontium), 소파시(Sofacy)라고 알려진 그룹인 APT28은 2021년 말까지 마이크로소프트 엑셀의 제로데이 취약점만 악용했다. 하지만 2020년과 2021년에 몇 가지 제로데이 취약점을 악용한 다른 러시아 후원 단체도 있다. 대표적으로 에너제틱 베어(Energetic Bear, 드래곤플라이 2.0(Dragonfly 2.0), 베르세르크(Berserk), 템프아이소토프(TEMP.Isotope)로도 알려짐)는 소포스 방화벽 제품의 제로데이 취약점으로 핵심 인프라 네트워크를 공격했을 수 있다.
제로데이 취약점 공격은 주로 국가가 후원하는 단체의 영역이지만, 다른 사이버 단체의 제로데이 취약점 악용 실력도 늘고 있다. 맨디언트는 랜섬웨어 공격 단체가 진행하는 제로데이 취약점 공격의 규모과 정교함이 크게 증가한 것을 목격했다.
여기에는 몇 가지 이유가 있다. 첫째, 랜섬웨어 공격 단체가 갈수록 번성하고 있기 때문이다. 따라서 고도로 숙련된 사람을 영입하거나 값비싼 서비스에 돈을 지불할 수 있다. 둘째, 랜섬웨어 세계의 전문가의 네트워크가 확장되어서다.
제로데이 취약점을 악용한 여러 랜섬웨어 단체 가운데 UNC2447 솜브렛(SombRAT)은 소닉월(SonicWall)의 버그를 악용했다. 사용자 이름, 비밀번호, 세션 정보로 액세스할 수 있는 중대한 SQL 취약점으로, 공격자는 이를 패치되지 않은 SMA 100 시리즈 기기에 로그인하는 데 사용할 수 있었다.
범죄 단체는 최근 발견되었으나 아직 패치되지 않은 취약점도 이용한다. 때때로 취약점을 발견한 연구원은 좌절감에, 또는 솔루션 업체를 압박하기 위해 이런 취약점에 대한 개념 증명을 발표하는데, 이는 공격자에게 시간을 벌어준다.
사이버 범죄 단체는 보안 세계에서 일어나는 일을 낱낱이 주시하므로 이런 일은 앞으로도 계속 발생할 것이다. 새도스키는 “악의적 행위자는 공개적인 발표, 과거의 제로데이 분석을 통해 자신의 취약점을 분석하고 악용을 촉진할 것이다”라고 강조했다.
값비싸지는 제로데이 취약점
지난 1년 반 동안 제로데이 취약점의 양만 증가한 것이 아니다. 회색시장이나 암시장에서 버그를 발견한 사람에게 제시되는 금액도 높아졌다. 취약점 매입 플랫폼 제로디움(Zerodium)은 아무런 사용자 상호작용 없이 원격으로 수행할 수 있는 iOS 탈옥 취약점에 최대 200만 달러, 안드로이드의 탈옥 취약점에 250만 달러를 지급한다. 스톤은 “제로클릭 취약점은 원클릭보다 수요가 높다. 사용자의 상호작용을 요구하지 않기 때문이다”라고 말했다. 다른 제로데이 취약점은 상대적으로 저렴하다. 예컨대 왓츠앱과 아이메시지의 결함은 최대 150만 달러이며, 페이스북 메신저와 시그널, 텔레그램의 취약점은 그레이마켓에서 최대 50만 달러에 판매된다. 크롬 취약점은 최대 50만 달러이며, 사파리, 엣지, 파이어폭스 버그는 10만 달러까지 호가한다.
트렌드 마이크로의 제로데이 이니셔티브도 그 정도 가격을 제시하지만, 공개 시장에서 활동하는 데다가 화이트햇 해커와 기업의 중개인 역할을 한다. 취약점의 가격을 책정할 때는 ‘수요, 효과, 안정성’과 같이 여러 요소가 고려된다. 공격 벡터가 인증이나 사용자 상호작용을 요구하지 않으면 가격이 올라간다. 차일즈에 따르면, 소프트웨어 사용자 수도 가격 책정에 일조한다. 잠재적 피해 집단의 규모가 크면 클수록 가격이 높아진다. 차일즈는 “취약점 시장도 여느 시장과 다르지 않다. 가격을 등락시키는 여러 요소가 존재한다”라고 말했다.
제로데이 취약점 보호 및 개선 방안
국가가 후원하는 해커와 사이버 범죄자의 제로데이 취약점 악용 비율이 갈수록 높아지면서 제로데이 취약점에서 기업의 시스템을 보호해야 할 필요성도 커졌다. 제로데이 취약점은 미지의 영역에 있지만, 보안팀이 공격 위험을 줄일 방법이 여전히 존재한다. 핵심적인 보호 요소는 패치다. 패치는 신속히 수행해야 한다. 광범위하게 사용되는 자산이라면 특히 그렇다. 예를 들어, 아틀라시안은 중요한 컨플루언스 서버 버그를 개선하는 보안 패치를 배포했지만, 이를 빨리 배포한 기업은 많지 않았다. 소포스는 다수의 단체가 이 취약점을 악용해 케르베르(Cerber) 랜섬웨어, 미라이(Mirai) 봇 변종, 제로마이너(z0miner) 암호화폐 채굴기를 배포한 것을 발견했다. 기업이 모든 소프트웨어 및 하드웨어 자산의 최신 목록을 보유하고 있고, 각 자산의 구입일과 예상 수명 종료일을 알고 있으면 도움이 된다.
보안 연구원들은 기업이 자신의 네트워크의 구성을 적절히 설정해 공격자가 한 장소에서 다른 장소로 이동하는 것을 어렵게 만드는 것이 좋다고 조언했다. 보안 담당자는 수상한 행동을 찾아야 하며, 직원과 파트너사가 적절한 보안 조치를 시행하고 있는지 확인해야 한다.
소프트웨어 솔루션 업체도 도움이 될 수 있다. 차일즈는 “올바른 보안 패치가 필수적이다. 일단 패치가 배포되면 악의적 행위자는 패치가 고치려고 하는 취약점을 찾기 위해 패치를 리버스 엔지니어할 것이기 때문이다. 솔루션 업체가 패치를 배포하고 버그의 위치를 알리기 전까지는 버그를 찾기 힘들다. n일 동안 알려진 n데이 취약점 공격은 항상 제로데이보다 더 인기가 많았다”라고 말했다.
구글 프로젝트 제로의 스톤은 시스템의 작동 방식을 약간 변경하기를 조언했다. 스톤은 “취약점을 패치하는 일은 업계 표준이지만, 각 익스플로잇 기법을 완화하는 일은 그렇게 일반적이지 않다.하지만 익스플로잇 기법 완화가 일상적으로 진행된다면 공격자는 제로데이 취약점 공격을 개발할 때마다 새로운 공격 기술까지 개발해야 할 것”이라고 덧붙였다.
editor@itworld.co.kr
함께 보면 좋은 콘텐츠
Sponsored
Surfshark
“유료 VPN, 분명한 가치 있다” VPN 선택 가이드
ⓒ Surfshark VPN(가상 사설 네트워크, Virtual Private Network)은 인터넷 사용자에게 개인 정보 보호와 보안을 제공하는 중요한 도구로 널리 인정받고 있다. VPN은 공공 와이파이 환경에서도 데이터를 안전하게 전송할 수 있고, 개인 정보를 보호하는 데 도움을 준다. VPN 서비스의 수요가 증가하는 것도 같은 이유에서다. 동시에 유료와 무료 중 어떤 VPN을 선택해야 할지 많은 관심을 가지고 살펴보는 사용자가 많다. 가장 먼저 사용자의 관심을 끄는 것은 별도의 예산 부담이 없는 무료 VPN이지만, 그만큼의 한계도 있다. 무료 VPN, 정말 괜찮을까? 무료 VPN 서비스는 편리하고 경제적 부담도 없지만 고려할 점이 아예 없는 것은 아니다. 보안 우려 대부분의 무료 VPN 서비스는 유료 서비스에 비해 보안 수준이 낮을 수 있다. 일부 무료 VPN은 사용자 데이터를 수집해 광고주나 서드파티 업체에 판매하는 경우도 있다. 이러한 상황에서 개인 정보가 유출될 우려가 있다. 속도와 대역폭 제한 무료 VPN 서비스는 종종 속도와 대역폭에 제한을 생긴다. 따라서 사용자는 느린 인터넷 속도를 경험할 수 있으며, 높은 대역폭이 필요한 작업을 수행하는 데 제약을 받을 수 있다. 서비스 제한 무료 VPN 서비스는 종종 서버 위치가 적거나 특정 서비스 또는 웹사이트에 액세스하지 못하는 경우가 생긴다. 또한 사용자 수가 늘어나 서버 부하가 증가하면 서비스의 안정성이 저하될 수 있다. 광고 및 추적 위험 일부 무료 VPN은 광고를 삽입하거나 사용자의 온라인 활동을 추적하여 광고주에게 판매할 수 있다. 이 경우 사용자가 광고를 보아야 하거나 개인 정보를 노출해야 할 수도 있다. 제한된 기능 무료 VPN은 유료 버전에 비해 기능이 제한될 수 있다. 예를 들어, 특정 프로토콜이나 고급 보안 기능을 지원하지 않는 경우가 그렇다. 유료 VPN의 필요성 최근 유행하는 로맨스 스캠은 인터넷 사기의 일종으로, 온라인 데이트나 소셜 미디어를 통해 가짜 프로필을 만들어 상대를 속이는 행위다. 이러한 상황에서 VPN은 사용자가 안전한 연결을 유지하고 사기 행위를 방지하는 데 도움이 된다. VPN을 통해 사용자는 상대방의 신원을 확인하고 의심스러운 활동을 감지할 수 있다. 서프샤크 VPN은 구독 요금제 가입 후 7일간의 무료 체험을 제공하고 있다. ⓒ Surfshark 그 외에도 유료 VPN만의 강점을 적극 이용해야 하는 이유는 다음 3가지로 요약할 수 있다. 보안 강화 해외 여행객이 증가함에 따라 공공 와이파이를 사용하는 경우가 늘어나고 있다. 그러나 공공 와이파이는 보안이 취약해 개인 정보를 노출할 위험이 있다. 따라서 VPN을 사용하여 데이터를 암호화하고 개인 정보를 보호하는 것이 중요하다. 서프샤크 VPN은 사용자의 개인 정보를 안전하게 유지하고 해킹을 방지하는 데 유용하다. 개인정보 보호 인터넷 사용자의 검색 기록과 콘텐츠 소비 패턴은 플랫폼에 의해 추적될 수 있다. VPN을 사용하면 사용자의 IP 주소와 로그를 숨길 수 있으며, 개인 정보를 보호할 수 있다. 또한 VPN은 사용자의 위치를 숨기고 인터넷 활동을 익명으로 유지하는 데 도움이 된다. 지역 제한 해제 해외 여행 중에도 한국에서 송금이 필요한 경우가 생길 수 있다. 그러나 IP가 해외 주소이므로 은행 앱에 접근하는 것이 제한될 수 있다. VPN을 사용하면 지역 제한을 해제해 해외에서도 한국 인터넷 서비스를 이용할 수 있다. 따라서 해외에서도 안전하고 편리하게 인터넷을 이용할 수 있다. 빠르고 안전한 유료 VPN, 서프샤크 VPN ⓒ Surfshark 뛰어난 보안 서프샤크 VPN은 강력한 암호화 기술을 사용하여 사용자의 인터넷 연결을 안전하게 보호한다. 이는 사용자의 개인 정보와 데이터를 보호하고 외부 공격으로부터 사용자를 보호하는 데 도움이 된다. 다양한 서버 위치 서프샤크 VPN은 전 세계 곳곳에 여러 서버가 위치하고 있어, 사용자가 지역 제한된 콘텐츠에 액세스할 수 있다. 해외에서도 로컬 콘텐츠에 손쉽게 접근할 수 있음은 물론이다. 속도와 대역폭 서프샤크 VPN은 빠른 속도와 무제한 대역폭을 제공하여 사용자가 원활한 인터넷 경험을 누릴 수 있도록 지원한다. 온라인 게임, 스트리밍, 다운로드 등 대역폭이 필요한 활동에 이상적이다. 다양한 플랫폼 지원 서프샤크 VPN은 다양한 플랫폼 및 디바이스에서 사용할 수 있다. 윈도우, 맥OS, iOS, 안드로이드 등 다양한 운영체제 및 디바이스에서 호환되어 사용자가 어디서나 안전한 인터넷을 즐길 수 있다. 디바이스 무제한 연결 서프샤크 VPN은 무제한 연결을 제공하여 사용자가 필요할 때 언제든지 디바이스의 갯수에 상관없이 VPN을 사용할 수 있다.