제로데이 취약점은 일반 대중이나 취약점이 존재하는 제품 개발자에게 아직 알려지지 않은 프로토콜, 소프트웨어 및 애플리케이션 취약점입니다. 제로데이 취약점은 일반인이나 개발자에게 알려지지 않았기 때문에 패치를 적용할 수 없습니다. 제로데이 익스플로잇은 해커가 취약점이 제작자나 대중에게 알려지기 전에 야생에서 취약점을 악용하는 새로운 사이버 보안 위협입니다. 화이트 햇 해커가 문제를 해결하기 위해 상황에 뛰어들기 전에 공격자는 악의적인 목적으로 데이터를 침해하고 시스템과 네트워크에 침투합니다.
GPZ 연구에 따르면 해커가 악용한 제로데이 취약점 18개 중 절반이 2022년 상반기 소프트웨어 업데이트가 제공되기 전에 소프트웨어 공급업체가 더 철저한 테스트를 수행하고 더 포괄적인 패치를 만들었다면 예방할 수 있었을 것입니다. 놀랍게도 올해 발견된 제로데이 취약점 중 최소 4개가 2021년에 발견된 취약점을 변형한 것이었습니다. 또한, 2021년 제로데이 익스플로잇의 수는 전년 대비 100% 이상 100% 이상 증가했으며, 이는 전체 제로데이 익스플로잇의 거의 40%가 2021년에만 발생했음을 나타냅니다. 2021년 4분기 워치가드 인터넷 보안 보고서에서도 제로데이 멀웨어가 해당 기간 동안 전체 위협의 3분의 2를 차지한 것으로 나타났습니다.
그렇다면 제로데이 취약성이란 정확히 무엇일까요? 이 가이드에서 이에 대해 알아보겠습니다. 하지만 이 정의를 완전히 이해하려면 먼저 몇 가지 다른 사항을 정의해야 합니다.
주요 내용
- 제로데이 취약점은 공급업체가 수정하기 전에 공격자가 악용하는 알려지지 않은 패치되지 않은 결함입니다.
- 공격은 취약점 발견 및 익스플로잇 개발에서 전달 및 실행에 이르는 수명 주기를 따릅니다.
- 탐지에는 취약점 스캔, 성능 모니터링, 사용자 보고서 등 다양한 방법이 필요합니다.
- 정부, 금융, IT 조직과 같은 고가치 표적은 자주 공격을 받지만, 중요한 데이터를 보유한 모든 기업이 위험에 노출되어 있습니다.
- 예방에는 적시 패치, 강력한 보안 소프트웨어, 사용자 액세스 제어, 선제적 위협 헌팅이 포함됩니다.
제로데이 익스플로잇이란 무엇인가요?
제로데이 익스플로잇은 공개적으로 공개되거나 수정되지 않은 보안 취약점입니다. 이 용어는 익스플로잇 자체와 익스플로잇 및 관련 도구가 포함된 코드 패키지를 모두 지칭합니다. 제로데이 공격 또는 0일차 익스플로잇과 동의어로도 사용됩니다. 제로데이라는 용어는 문제의 강도와 개발자가 긴급한 문제가 되기 전에 오류를 수정할 수 있는 시간이 0일이라는 사실을 나타냅니다.
공격자들은 종종 제로데이 익스플로잇을 사용하여 멀웨어 를 배포하기 위해 제로데이 익스플로잇을 사용하는 경우가 많습니다. 또한 방어자는 네트워크 취약점을 탐지하기 위한 침투 테스트를 수행하는 데 제로데이 익스플로잇을 사용할 수 있습니다. 멀웨어는 정부 기관, IT 회사, 금융 기관 등을 공격하기 위해 확산되는 제로데이 익스플로잇 중 하나입니다. 스푸핑된 이메일을 통해 유포되는 멀웨어와 랜섬웨어는 DMARC와 같은 이메일 보안 프로토콜을 사용하여 완화할 수 있습니다.
제로데이 익스플로잇에 대해 배울 때 '제로데이 취약점', '제로데이 익스플로잇' 또는 '제로데이 공격'이라는 용어를 들어보셨을 것입니다. 이러한 용어에는 중요한 차이점이 있습니다:
- 해커가 소프트웨어를 공격하기 위해 사용하는 방법을 '제로데이 익스플로잇'이라고 합니다.
- 시스템의 결함을 "제로데이 취약점"이라고 합니다.
- '제로데이 공격'은 해커가 취약점을 악용하여 시스템에 침투할 때 사용하는 방법입니다.
제로데이 취약점에 대해 이야기할 때 "발견되지 않은"이라는 단어가 필수적인 이유는 "제로데이 취약점"이라고 하려면 결함이 시스템 설계자에게 알려지지 않아야 하기 때문입니다. 보안 결함이 발견되고 수정 사항이 제공되면 더 이상 "제로데이 취약점"이 아닙니다.
공격자는 제로데이 익스플로잇을 다음과 같은 다양한 방법으로 사용할 수 있습니다:
- 패치되지 않은 시스템(즉, 보안 업데이트를 적용하지 않은)을 악용하여 멀웨어를 설치하거나 컴퓨터를 원격으로 제어합니다;
- 웹사이트 호스팅 공격으로 이어지는 악성 첨부 파일 또는 링크를 사용하여 피싱 캠페인(즉, 수신자를 속여 링크 또는 첨부 파일을 클릭하도록 유도하는 이메일 전송)을 수행하는 경우 또는
- 서비스 거부 공격(즉, 합법적인 요청이 통과할 수 없도록 서버에 요청을 폭주시키는 공격)을 수행합니다.
제로데이 익스플로잇의 수명
제로 데이 익스플로잇의 일반적인 수명은 7단계로 나뉩니다. 어떤 단계인지 살펴봅시다.
1단계: 취약점 도입
소프트웨어를 만들고 테스트하는 동안 개발자는 녹색 표시를 보게 됩니다. 이는 소프트웨어에 자신도 모르는 사이에 취약한 코드가 있다는 뜻입니다.
2단계: 익스플로잇 공개
위협 행위자는 공급업체나 개발자가 취약점에 대해 알기 전에 취약점을 발견하고 이를 수정할 기회를 얻습니다. 해커는 악의적인 목적으로 익스플로잇된 코드를 작성하고 배포합니다.
3단계: 취약점 발견
이 단계에서는 공급업체가 결함을 인지하지만 패치가 아직 만들어져 배포되지 않은 상태입니다.
4단계: 취약점 공개
공급업체 또는 보안 연구원이 취약점을 공개적으로 인정한 경우. 사용자에게 소프트웨어와 관련된 잠재적 위험에 대해 암시합니다.
5단계: 안티바이러스 서명 출시
사용자의 디바이스가 제로데이 익스플로잇을 실행하기 위해 공격을 받는 경우 바이러스 백신 공급업체가 해당 서명을 식별하고 보호 기능을 제공할 수 있도록 바이러스 백신 서명이 공개됩니다. 그러나 악의적인 공격자가 취약점을 악용할 다른 방법이 있는 경우 시스템은 이러한 위험에 취약할 수 있습니다.
6단계: 보안 패치 공개
개발자는 취약점을 해결하기 위해 보안 패치를 만들어 배포합니다. 패치를 만드는 데 걸리는 시간은 취약점의 복잡성과 개발 프로세스에서 우선순위에 따라 달라집니다.
7단계: 보안 패치 배포 완료
마지막 단계에서는 보안 패치 설치가 성공적으로 완료됩니다. 보안 패치를 릴리스해도 사용자가 배포하는 데 시간이 걸리기 때문에 즉각적인 수정이 이루어지지 않으므로 설치가 필요합니다. 따라서 이를 사용하는 회사 및 개인에게 업데이트된 버전에 대한 알림이 전송됩니다.
PowerDMARC로 제로데이 취약점을 방지하세요!
제로데이 익스플로잇의 어떤 고유한 특징이 이토록 위험한가?
제로데이 취약점에는 두 가지 범주가 있습니다:
발견되지 않음: 소프트웨어 공급업체가 아직 결함에 대해 알지 못한 경우입니다. 대부분의 대기업은 해커나 악의적인 사용자가 발견하기 전에 소프트웨어의 결함을 찾아 수정하는 전담 팀을 상시 운영하고 있기 때문에 이 유형은 극히 드문 경우입니다.
발견되지 않음: 소프트웨어 개발자가 결함을 발견하고 수정했지만 아직 시스템에서 문제를 발견하지 못해 아무도 신고하지 않은 상태입니다. 이 취약점은 다른 사람의 시스템에 대한 공격을 시작하려는 경우, 공격이 완료될 때까지 상대방이 무슨 일이 일어나고 있는지 알기를 원하지 않는 경우 매우 유용할 수 있습니다!
제로데이 익스플로잇은 알려진 결함에 대한 공격보다 성공 확률이 높기 때문에 특히 위험합니다. 취약점이 제로데이에 공개되어도 기업은 여전히 패치를 적용해야 하므로 공격이 가능합니다. 프로그램은 취약점이 발생하기 쉬우며 개발자가 모든 취약점을 탐지하는 것은 현실적으로 불가능합니다. 그렇기 때문에 개발자는 결함을 알게 되는 즉시 패치를 만들어 배포합니다. 하지만 해커가 개발자보다 먼저 취약점을 발견하면 이를 악용하여 시스템에 침투할 가능성이 높아집니다. 또한 해커는 제로데이 익스플로잇을 성공적으로 실행할 수 있을 정도로 공격을 구체적으로 만드는 경우가 많습니다. 이러한 맞춤형 공격은 해커의 악의적인 움직임에 대응하기 어렵게 만듭니다. 다른 방법으로는 이러한 상황에 직면할 가능성이 낮기 때문에 피해자 측에서 즉석에서 해결책을 떠올리는 경우가 많습니다. 취약점이 알려지지 않았기 때문에 방어나 보호 장치가 마련되어 있지 않은 경우가 많으며, 문제와 그 영향에 대한 대처는 취약점을 알게 된 후부터 시작됩니다.
일부 정교한 사이버 범죄 조직은 제로데이 익스플로잇을 전략적으로 배포하기 때문에 훨씬 더 위험합니다. 이러한 기업들은 가치가 높은 표적을 위해 제로데이 익스플로잇을 저장합니다. 해커는 익스플로잇을 개발할 필요 없이 제로데이 취약점을 사용하여 시스템에 침입하여 데이터를 훔치거나 거의 경고 없이 피해를 입힐 수 있습니다. 이는 보안 침해, 데이터 손실, 금전적 손실, 평판 손상으로 이어질 수 있습니다. 조직은 안전한 컴퓨팅 환경이 필요하지만 해커가 이를 악용하기 전에 제로데이 취약점에 대해 알지 못하면 이러한 공격으로부터 자신을 보호할 수 없습니다.
사용자는 패치가 생성된 후에도 시스템을 계속 업그레이드해야 합니다. 그렇지 않으면 시스템이 패치될 때까지 공격자는 제로데이 익스플로잇을 계속 사용할 수 있습니다. 또한, 사용자들은 인터넷 위생을 잘 지키지 않고 발신자의 진위 여부를 면밀히 검토하지 않고 이메일을 전달하거나, 파일을 다운로드하거나, 링크를 클릭하거나, 지시 사항을 따르는 경우가 많아 익스플로잇에 성공할 수 있습니다.
제로데이 익스플로잇의 일반적인 표적
제로데이 익스플로잇은 수익을 가져다줄 수 있는 모든 개인 또는 조직을 표적으로 삼을 수 있습니다. 일반적인 표적은 다음과 같습니다:
- 정부 기관, 금융 기관, 의료 시설을 포함한 고가치 대상.
- 사이버 보안이 취약한 기업.
- 이름, 연락처, 금융 정보, 주소, 주민등록번호, 의료 정보 등과 같은 사용자 데이터를 기록하는 회사.
- 기밀 데이터를 취급하는 회사.
- 고객을 위한 소프트웨어 및 하드웨어를 개발하는 회사.
- 방위 부문을 위해 일하는 기업.
이러한 전략적 표적 공격은 공격의 지속 시간을 늘리고 피해자가 취약점을 발견할 가능성을 낮출 수 있습니다. 예를 들어, 클라우드 컴퓨팅 대기업인 Rackspace는 해커가 다음과 같은 고객의 개인 데이터에 액세스했다고 공개적으로 발표했습니다. 27명의 고객 제로데이 익스플로잇을 이용한 랜섬웨어 공격으로 27명의 고객의 개인 데이터에 액세스했다고 공개적으로 발표했습니다.
제로데이 공격의 해부학
제로데이 공격은 복잡하고 정교하지만 모두 비슷한 패턴을 따릅니다. 취약점이 발견되면 공격자는 다른 사람이 결함을 발견하기 전에 이를 활용할 수 있습니다. 이 과정을 "익스플로잇"이라고 합니다. 아래 단계를 통해 그 작동 방식을 이해할 수 있습니다:
취약점 식별
이 단계는 당연해 보일 수 있지만 모든 취약점이 똑같이 만들어지는 것은 아니라는 점에 유의하는 것이 중요합니다. 어떤 취약점은 다른 취약점보다 찾기 쉽고, 어떤 취약점은 익스플로잇하는 데 더 많은 기술이 필요하며, 어떤 취약점은 익스플로잇될 경우 사용자에게 더 큰 영향을 미칩니다.
익스플로잇 개발
공격자가 취약점을 발견하면 이를 악용하는 프로그램인 익스플로잇을 개발해야 합니다. 일반적으로 익스플로잇은 소프트웨어나 하드웨어의 보안 허점이나 버그를 이용하여 시스템이나 네트워크에 무단으로 액세스할 수 있도록 합니다. 공격자는 이러한 액세스를 통해 민감한 정보를 훔치거나 피해자의 컴퓨터에 멀웨어를 설치할 수 있습니다.
익스플로잇 전달
공격자는 익스플로잇이 작동하려면 피해자의 컴퓨터에 익스플로잇을 전달해야 합니다. 이 전달 방법은 악성 첨부 파일이 포함된 피싱 이메일 또는 멀웨어 다운로드를 호스팅하는 웹사이트 링크(드라이브 바이 다운로드라고도 함)를 통해 이루어질 수 있습니다.
익스플로잇 실행
공격자는 공격 대상 소프트웨어 제품의 알려지지 않은 취약점을 사용하여 익스플로잇을 실행합니다. 이 단계를 성공적으로 실행하려면 공격자는 아직 공개적으로 알려지지 않은 이 취약점에 대해 알고 있어야 합니다.
지속성 확립
익스플로잇을 실행한 후 공격자는 더 많은 공격을 실행하기 위해 피해자의 시스템에 다시 액세스할 수 있도록 해야 합니다. 이를 위해 피해자의 시스템에 악성 소프트웨어를 설치하여 시스템을 시작할 때 실행되고 보안 소프트웨어에 탐지되지 않도록 합니다.
데이터 유출
공격자는 이제 손상된 자격 증명이나 멀웨어 를 사용하여 피해자의 네트워크에서 데이터(예: 비밀번호, 신용카드 번호 등)를 유출할 수 있습니다.
청소 및 커버업
공격자는 탐지를 피하기 위해 피해자의 컴퓨터에서 악의적인 활동을 마친 후 자신이 만든 파일을 삭제하거나 공격 중에 만든 레지스트리 키를 제거하여 자신의 흔적을 정리합니다. 또한 바이러스 백신 소프트웨어나 방화벽과 같은 모니터링 도구를 비활성화할 수도 있습니다.
제로데이 취약점을 식별하고 탐지하는 방법은 무엇인가요?
제로데이 취약점은 알려지지 않은 특성으로 인해 악용되기 전에 식별하기가 어렵습니다. 하지만 몇 가지 방법과 기술을 통해 잠재적인 제로데이 활동이나 발견되지 않은 결함을 탐지할 수 있습니다:
- 취약점 스캔: 기존 스캐너는 주로 알려진 취약점에 대한 시그니처를 사용하지만, 일부 고급 스캐너는 휴리스틱 분석 또는 이상 징후 탐지를 사용하여 알려지지 않은 결함을 나타낼 수 있는 의심스러운 패턴을 식별합니다. 정기적인 스캔을 통해 제로데이와 결합될 수 있는 알려진 취약점을 찾아낼 수 있습니다.
- 리버스 엔지니어링: 소프트웨어 바이너리(실행 파일)를 분석하면 숨겨진 결함을 발견할 수 있습니다. 이 방법은 상당한 기술 전문 지식이 필요하지만 공급업체가 알지 못하는 취약점을 발견할 수 있습니다.
- 시스템 및 네트워크 동작 모니터링: 예상치 못한 시스템 동작, 비정상적인 네트워크 트래픽(예: 알 수 없는 서버와의 통신), 리소스 소비 증가 또는 소프트웨어 성능의 설명할 수 없는 변화는 제로데이 익스플로잇을 통한 손상을 나타낼 수 있습니다. 네트워크 속도 저하 또는 소프트웨어 성능 저하를 주목하세요.
- 사용자 보고서 분석하기: 시스템 사용자는 개발자보다 소프트웨어와 더 자주 상호작용하는 경우가 많으며, 이상 현상이나 예기치 않은 동작을 가장 먼저 발견할 수 있습니다. 사용자 보고를 장려하고 분석하면 문제를 조기에 발견할 수 있습니다.
- 웹사이트 성능 모니터링: 웹 애플리케이션의 경우 로그인 문제, 시각적 변경, 예기치 않은 리디렉션, 트래픽의 편향 또는 브라우저 경고("이 사이트는 해킹되었을 수 있습니다") 등의 문제가 있는지 모니터링합니다.
- 레트로 헌팅: 여기에는 새로 발견된 제로데이 공격과 관련된 침해 지표(IoC)를 위해 과거 로그와 시스템 데이터를 선제적으로 검색하는 것이 포함됩니다. 과거 활동과 새로운 위협 인텔리전스를 비교함으로써 조직은 이전에 탐지되지 않은 침해를 발견할 수 있습니다. 공급업체의 보안 알림을 확인하고 사이버 보안 뉴스를 최신 상태로 유지하세요.
제로데이 취약점의 예
제로데이 취약점의 몇 가지 예는 다음과 같습니다:
심장 출혈 - 2014년에 발견된 이 취약점은 공격자가 OpenSSL 암호화 라이브러리를 사용하는 서버에서 정보를 추출할 수 있게 해줍니다. 이 취약점은 2011년에 도입되었지만 2년이 지난 후에야 연구원들이 특정 버전의 OpenSSL이 공격자가 보내는 하트비트에 취약하다는 사실을 발견했습니다. 해커는 이 암호화 라이브러리를 사용하는 서버에서 개인 키를 획득하여 사용자가 전송하는 데이터를 해독할 수 있었습니다.
셸쇼크 - 이 취약점은 2014년에 발견되었으며, 공격자가 Bash 셸 환경을 통해 공격에 취약한 운영 체제를 실행하는 시스템에 액세스할 수 있게 해줍니다. 셸쇼크는 모든 Linux 배포판과 Mac OS X 10.4 및 이전 버전에 영향을 미칩니다. 이러한 운영 체제에 대한 패치가 출시되었지만 일부 디바이스에는 아직 이 익스플로잇에 대한 패치가 적용되지 않은 상태입니다.
에퀴팩스 데이터 유출 - Equifax 데이터 유출은 2017년에 발생한 대규모 사이버 공격이었습니다. 이 공격은 알려지지 않은 해커 그룹이 Apache Struts 웹 애플리케이션 프레임워크의 취약점을 악용하여 Equifax 웹사이트에 침입하여 주민등록번호와 생년월일을 포함한 약 1억 4,500만 명의 고객 개인 정보를 탈취한 사건입니다.
워너크라이 랜섬웨어 - 워너크라이 랜섬웨어는 Microsoft Windows 운영 체제를 대상으로 하는 랜섬웨어 바이러스로, 사용자의 파일을 암호화하고 이를 해독하기 위해 비트코인을 통해 몸값을 요구합니다. 이 바이러스는 이터널블루를 사용하여 네트워크를 통해 확산됩니다. 2017년 4월 NSA에서 유출된 윈도우 익스플로잇(SMB 취약점 활용)입니다. 이 웜은 2017년 5월 12일에 공개된 이후 전 세계 30만 대 이상의 컴퓨터에 영향을 미쳤습니다.
병원에 대한 멀웨어 공격 - 최근 해커들이 개인적인 이익이나 정치적 목적으로 의료 기관을 표적으로 삼는 멀웨어 공격이 점점 더 흔해지고 있습니다. 그러한 공격 중 하나는 해커가 할리우드 장로교 의료 센터의 환자 기록에 액세스하는 것과 관련이 있습니다. 피싱 이메일 피싱 이메일을 통해 환자 기록에 액세스했습니다. 피싱을 통해 시작되는 경우가 많지만, 근본적인 제로데이 익스플로잇은 더 심각한 시스템 손상을 촉진할 수 있습니다.
제로데이 익스플로잇을 방지하는 방법
제로데이 공격의 특성상 완벽하게 예방하는 것은 불가능하지만, 몇 가지 모범 사례를 통해 위험과 영향을 크게 줄일 수 있습니다:
- 소프트웨어와 시스템을 최신 상태로 유지합니다: 패치와 업데이트를 즉시 적용하세요. 패치가 아직 존재하지 않기 때문에 제로데이 공격을 예방하지는 못하지만, 공격자가 제로데이 익스플로잇과 연결할 수 있는 알려진 취약점을 차단할 수 있습니다. 업데이트된 버전은 악용될 수 있는 사소한 버그도 수정합니다.
- 종합적인 보안 소프트웨어 사용: 차세대 안티바이러스(NGAV), 엔드포인트 탐지 및 대응(EDR), 방화벽, 침입 방지 시스템(IPS)을 포함한 다계층 보안 솔루션을 사용하세요. 이러한 도구는 행동 기반 탐지 및 휴리스틱을 사용하여 특정 시그니처 없이도 제로데이 익스플로잇 활동을 식별하거나 차단할 수 있는 경우가 많습니다.
- 사용자 액세스 및 권한 제한하기: 최소 권한 원칙을 구현하세요. 사용자 권한을 제한하면 제로데이 익스플로잇을 통해 계정이 손상되더라도 공격자의 액세스 및 잠재적 피해를 제한할 수 있습니다. 허용 목록 또는 차단 목록을 사용하여 애플리케이션 실행을 제어하세요.
- 네트워크 세분화: 네트워크를 더 작고 격리된 세그먼트로 나누세요. 이렇게 하면 제로데이 익스플로잇을 통해 유입되는 멀웨어의 확산을 억제하여 공격의 범위를 제한할 수 있습니다.
- 웹 애플리케이션 방화벽(WAF): 웹 기반 애플리케이션의 경우 WAF는 악성 HTTP/S 트래픽을 필터링, 모니터링, 차단하여 웹 기반 제로데이 익스플로잇을 잠재적으로 완화할 수 있습니다.
- 정기 백업: 중요한 데이터를 정기적으로 테스트한 백업을 유지하세요. 이는 공격을 막지는 못하지만 특히 제로데이 익스플로잇을 통해 배포된 랜섬웨어로부터 데이터를 복구하는 데 매우 중요합니다.
- 보안 인식 교육: 피싱, 소셜 엔지니어링, 안전한 브라우징 습관에 대해 사용자에게 교육하여 익스플로잇이 성공적으로 전달될 가능성을 줄입니다.
마지막 말
제로데이 취약점은 확인되었지만 아직 소프트웨어 공급업체에 공개되지 않은 소프트웨어 버그입니다. 적어도 일반 대중에게는 알려지지 않은 '제로 데이' 취약점입니다. 즉, 취약점을 먼저 발견하고 보고한 사람이나 이를 악용하는 공격자를 제외하고는 아무도 모르는 취약점입니다. 세상은 점점 더 위험해지고 있으며, 이러한 위협으로 인해 조직과 개인은 강력한 다계층 보안 전략을 채택해야 합니다. 제로데이 취약점은 중대한 도전 과제이지만, 사이버 보안 태세를 개선하기 위해서는 취약점의 수명 주기, 잠재적 영향, 완화 기술을 이해하는 것이 중요합니다.
- DMARC 오탐: 오탐: 원인, 수정 및 예방 가이드 - 2025년 6월 13일
- 뉴질랜드 정부, 새로운 보안 이메일 프레임워크에 따라 DMARC 의무화 - 2025년 6월 9일
- 이메일 스푸핑이란 무엇인가요? - 2025년 5월 29일