제로데이 취약점은 일반 대중이나 취약점이 존재하는 제품 개발자에게 아직 알려지지 않은 프로토콜, 소프트웨어 및 애플리케이션 취약점입니다. 제로데이 취약점은 일반인이나 개발자에게 알려지지 않았기 때문에 패치를 사용할 수 없습니다.
GPZ 연구에 따르면 2022년 상반기에 해커가 악용한 제로데이 취약점 18개 중 절반이 2022년 상반기 소프트웨어 업데이트가 제공되기 전에 소프트웨어 공급업체가 더 철저한 테스트를 수행하고 더 포괄적인 패치를 만들었다면 예방할 수 있었을 것입니다. 놀랍게도 올해 제로데이 취약점 중 최소 4개는 2021년에 발생한 취약점을 변형한 것이었습니다.
그렇다면 제로데이 취약성이란 정확히 무엇일까요? 이 가이드에서 이에 대해 알아보겠습니다. 하지만 정의를 완전히 이해하려면 먼저 몇 가지 다른 사항을 정의해야 합니다.
제로데이 익스플로잇이란 무엇인가요?
제로데이 익스플로잇은 공개적으로 공개되거나 수정되지 않은 보안 취약점입니다. 이 용어는 익스플로잇 자체와 익스플로잇 및 관련 도구가 포함된 코드 패키지를 모두 지칭합니다.
공격자들은 종종 제로데이 익스플로잇을 사용하여 멀웨어 멀웨어를 배포하기 위해 제로데이 익스플로잇을 사용합니다. 방어자는 네트워크 취약점을 탐지하기 위해 침투 테스트를 수행하는데도 제로데이 익스플로잇을 사용할 수 있습니다.
제로데이 익스플로잇에 대해 배울 때 "제로데이 취약성", "제로데이 익스플로잇" 또는 "제로데이 공격"이라는 용어를 들어보셨을 것입니다. 이러한 용어에는 중요한 차이점이 있습니다:
- 해커가 소프트웨어를 표적으로 삼기 위해 사용하는 방법을 "제로데이 익스플로잇"이라고 합니다.
- 시스템의 결함을 "제로데이 취약성"이라고 합니다.
- '제로데이 공격'은 해커가 취약점을 악용하여 시스템에 침투할 때 사용하는 방법입니다.
제로데이 취약점에 대해 이야기할 때 "발견되지 않은"이라는 단어는 필수적인데, 그 이유는 "제로데이 취약점"이라고 하려면 시스템 설계자가 결함을 알지 못해야 하기 때문입니다. 보안 결함이 발견되고 수정 사항이 제공되면 "제로 데이 취약점"이 아닙니다.
공격자는 제로데이 익스플로잇을 다음과 같은 다양한 방법으로 사용할 수 있습니다:
- 패치되지 않은 시스템(즉, 보안 업데이트를 적용하지 않은 시스템)을 악용하여 멀웨어를 설치하거나 원격으로 컴퓨터를 제어합니다;
- 웹사이트 호스팅 익스플로잇으로 이어지는 악성 첨부 파일 또는 링크를 사용하여 피싱 캠페인(즉, 수신자를 속여 링크 또는 첨부 파일을 클릭하도록 유도하는 이메일 전송)을 수행하는 경우, 또는
- 서비스 거부 공격(즉, 합법적인 요청이 통과할 수 없도록 서버에 요청을 폭주시키는 공격)을 수행합니다.
제로데이 익스플로잇의 어떤 고유한 특징이 이토록 위험할까요?
제로데이 취약점에는 두 가지 범주가 있습니다:
발견되지 않음: 소프트웨어 공급업체가 아직 결함에 대해 알지 못함. 대부분의 대기업은 해커나 악의적인 사용자가 발견하기 전에 소프트웨어의 결함을 찾아 수정하기 위해 상근하는 전담 팀이 있기 때문에 이 유형은 극히 드뭅니다.
발견되지 않음: 소프트웨어 개발자가 이 결함을 발견하여 수정했지만, 시스템에서 문제를 발견하지 못했기 때문에 아직 아무도 신고하지 않았습니다. 이 취약점은 다른 사람의 시스템에 대한 공격을 시작하려는 경우, 공격이 완료될 때까지 상대방에게 무슨 일이 일어나고 있는지 알리고 싶지 않을 때 매우 유용할 수 있습니다!
제로데이 익스플로잇은 알려진 결함에 대한 공격보다 성공 확률이 높기 때문에 특히 위험합니다. 취약점이 제로데이에 공개되어도 기업은 여전히 패치를 적용해야 하므로 공격이 가능합니다.
일부 정교한 사이버 범죄 조직은 전략적으로 제로데이 익스플로잇을 배포하기 때문에 훨씬 더 위험합니다. 이러한 기업들은 정부 기관, 금융 기관, 의료 시설 등 가치가 높은 표적을 위해 제로데이 익스플로잇을 저장합니다. 이렇게 하면 공격 기간이 길어지고 피해자가 취약점을 발견할 가능성이 줄어들 수 있습니다.
사용자는 패치가 생성된 후에도 시스템을 계속 업그레이드해야 합니다. 그렇지 않으면 시스템이 패치될 때까지 공격자는 여전히 제로데이 익스플로잇을 사용할 수 있습니다.
제로데이 취약점을 식별하는 방법은?
제로데이 취약점을 식별하는 가장 일반적인 방법은 Nessus 또는 OpenVAS와 같은 스캐너를 사용하는 것입니다. 이러한 도구는 시그니처(알려진 악성 파일)를 사용하여 컴퓨터에서 취약점을 검사합니다. 서명이 일치하는 경우, 스캐너는 어떤 파일과 일치하는지 알려줍니다.
그러나 이러한 유형의 스캔은 시그니처가 가끔만 사용 가능하거나 새로운 위협이 등장할 때 이를 모두 포착할 수 있을 만큼 자주 업데이트되지 않기 때문에 많은 취약점을 놓치는 경우가 많습니다.
제로 데이를 식별하는 또 다른 방법은 소프트웨어 바이너리(실행 파일)를 리버스 엔지니어링하는 것입니다. 이 방법은 매우 어려울 수 있지만 온라인에 많은 무료 옵션 스캐너가 있어 기술 지식이나 전문 지식이 없어도 효과적으로 사용할 수 있기 때문에 대부분의 사람들에게는 일반적으로 필요하지 않습니다.
제로데이 취약점의 예
제로데이 취약점의 몇 가지 예는 다음과 같습니다:
심장 출혈 - 2014년에 발견된 이 취약점은 공격자가 OpenSSL 암호화 라이브러리를 사용하는 서버에서 정보를 추출할 수 있게 해줍니다. 이 취약점은 2011년에 도입되었지만 2년 후 연구원들이 특정 버전의 OpenSSL이 공격자가 보내는 하트비트에 취약하다는 사실을 발견하고 나서야 발견되었습니다. 해커는 이 암호화 라이브러리를 사용하는 서버에서 개인 키를 획득하여 사용자가 전송하는 데이터를 해독할 수 있었습니다.
셸쇼크 - 이 취약점은 2014년에 발견되었으며, 공격자가 Bash 셸 환경을 통해 공격에 취약한 운영 체제를 실행하는 시스템에 액세스할 수 있게 해줍니다. 셸쇼크는 모든 Linux 배포판과 Mac OS X 10.4 및 이전 버전에 영향을 줍니다. 이러한 운영 체제에 대한 패치가 출시되었지만 일부 디바이스에는 아직 이 익스플로잇에 대한 패치가 적용되지 않은 상태입니다.
에퀴팩스 데이터 유출 - 에퀴팩스 데이터 유출은 2017년에 발생한 대규모 사이버 공격이었습니다. 이 공격은 정체를 알 수 없는 해커 그룹에 의해 자행되었으며, 이들은 Equifax 웹사이트를 침입하여 주민등록번호와 생년월일을 포함한 약 1억 4,500만 명의 고객 개인 정보를 훔쳤습니다.
워너크라이 랜섬웨어 – 워너크라이 랜섬웨어는 Microsoft Windows 운영 체제를 대상으로 하는 랜섬웨어 바이러스로, 사용자의 파일을 암호화하고 이를 해독하기 위해 비트코인을 통해 몸값을 요구합니다. 이 바이러스는 이터널블루를 사용하여 네트워크를 통해 확산됩니다. 2017년 4월 NSA에서 윈도우 익스플로잇이 유출되었습니다. 이 웜은 2017년 5월 12일에 공개된 이후 전 세계 30만 대 이상의 컴퓨터에 영향을 미쳤습니다.
병원에 대한 멀웨어 공격 - 해커들이 개인적인 이익이나 정치적 목적으로 의료 기관을 노리는 멀웨어 공격이 최근 몇 년 동안 점점 더 흔해지고 있습니다. 이러한 공격 중 하나는 해커가 다음을 통해 할리우드 장로교 의료 센터의 환자 기록에 액세스하는 것과 관련이 있습니다. 피싱 이메일 피싱 이메일을 통해 할리우드 장로병원의 환자 기록에 액세스하는 공격이 있었습니다.
마지막 말
제로데이 취약점은 확인되었지만 아직 소프트웨어 공급업체에 공개되지 않은 소프트웨어 버그입니다. 적어도 일반인에게는 알려지지 않은 '제로 데이' 취약점입니다. 다시 말해, 먼저 발견하여 보고한 사람을 제외하고는 아무도 모르는 야생의 취약점입니다.
- 최근 피싱 공격에서 DMARC "없음" 정책을 악용한 킴수키(Kimsuky) - 2024년 5월 6일
- 세금 신고 시즌에 세금 사기 및 IRS 사칭 이메일 공격 증가 - 2024년 5월 2일
- 암호화폐 사기에 대처하는 이메일 안전 101 - 2024년 4월 30일