제로 데이 공격

3. 공격 방식

맬웨어 제작자들은 제로 데이 대상물의 취약점을 여러 가지 경로로 공략할 수 있다. 예를 들면, 사용자들이 블랙햇 웹 사이트에 접근할 때, 사이트의 코드가 웹 브라우저의 약점을 파고들 수 있다. 널리 사용된다는 점에서 웹 브라우저는 특히 더 대상이 되곤 한다.^[24] 해커들은 첨부 파일을 엶으로 인해 프로그램의 약점에 파고들 수 있는 SMTP를 통해 이메일을 보내기도 한다.^[24] 특정 파일 타입을 더 선호하는 공격자들도 상당히 많은데, 이는 US-CERT 같은 데이터베이스에 그들의 출현 빈도가 증가하는 것에서 알 수 있다. 악의를 가진 사용자는 멀웨어를 만들어 이런 파일 타입의 프로그램을 이용, 시스템을 공격하거나 기밀 데이터를 훔칠 수 있다.^[25]

제로데이 공격은 무방비 시간대가 위협이 개시된 시점과 프로그램 제작자가 패치를 내놓는 시점 사이에 존재할 때 일어난다.

바이러스에 있어서, 트로이 목마나 다른 제로데이 공격의 경우, 무방비 시간대는 다음과 같은 전개를 보인다.

• 새로운 위협/대상 프로그램의 출현
• 새로운 공격 프로그램의 발견과 연구
• 새로운 해결책의 개발
• 패치 또는 공격 프로그램을 잡을 수 있는 업데이트된 서명 패턴의 발표
• 사용자의 시스템에 패치의 배포와 설치, 또는 바이러스 데이터베이스 업데이트

3. 1. 공격 매개 요소

3. 2. 무방비 시간대

4. 역사

애플(Apple Inc.), 구글(Google), 페이스북(Facebook), 마이크로소프트(Microsoft)와 같은 서비스가 서버와 메시지를 암호화한 후 제로 데이 익스플로잇(Zero-day exploit)의 중요성이 증가했다. 이는 사용자의 데이터에 접근하는 가장 실질적인 방법이 암호화되기 전에 소스에서 가로채는 것이었기 때문이다. 제로 데이 익스플로잇의 가장 잘 알려진 사용 사례 중 하나는 2010년 이란 핵 프로그램에 피해를 입히기 위해 4개의 제로 데이 취약점을 사용한 스턱스넷 웜이었다. 이 웜은 제로 데이 익스플로잇으로 무엇을 달성할 수 있는지 보여주었고, 시장 확대를 촉발했다.

미국 국가안보국(NSA)은 대형 기술 회사가 소프트웨어에 백도어 설치를 거부한 후 제로 데이 취약점 검색을 강화하여 맞춤형 접근 작전(TAO)에 제로 데이 익스플로잇을 발견하고 구매하는 임무를 부여했다. 2007년, 전 NSA 직원인 찰리 밀러는 미국 정부가 제로 데이 익스플로잇을 구매하고 있다는 사실을 처음으로 공개적으로 밝혔다. NSA가 제로 데이에 관여한 일부 정보는 2013년 NSA 계약자 에드워드 스노든이 유출한 문서에서 공개되었지만 세부 사항은 부족했다. 기자 니콜 펄로스는 "스노든이 계약자로서의 접근 권한으로는 필요한 정보를 얻기 위해 정부 시스템에 충분히 접근할 수 없었거나, 제로 데이 획득과 관련된 정부의 일부 소스 및 방법이 너무 기밀이거나 논란이 많아 기관이 감히 서면으로 작성하지 못했다"고 결론 내렸다.

2013년 이후 발견된 가장 악명 높은 취약점 중 하나인 하트블리드 (CVE-2014-0160)는 공개 당시에는 제로 데이가 아니었지만, 소프트웨어 버그가 글로벌 사이버 보안에 미칠 수 있는 치명적인 영향을 강조했다. OpenSSL 암호화(Cryptography) 라이브러리의 이 결함은 발견 전에 제로 데이로 악용되어 공격자가 개인 키 및 비밀번호와 같은 민감한 정보를 훔칠 수 있었다.^[5]

2016년에는 해커 그룹인 섀도 브로커스가 미국 국가안보국(NSA)에서 훔친 것으로 알려진 정교한 제로 데이 익스플로잇을 대량으로 공개했다. 여기에는 Microsoft Windows의 서버 메시지 블록(SMB) 프로토콜의 취약점을 활용한 EternalBlue와 같은 도구가 포함되었다. EternalBlue는 나중에 워너크라이 및 NotPetya와 같은 유명한 공격에 무기화되어 전 세계적으로 광범위한 피해를 입혔으며, 취약점 비축의 위험성을 강조했다.^[6]

2020년에는 공격자들이 제로 데이 취약점을 포함한 여러 취약점을 악용하여 SolarWinds의 Orion 소프트웨어를 손상시키는 정교한 사이버 스파이 활동이 있었다. 이를 통해 수많은 정부 및 기업 네트워크에 접근할 수 있었다.^[7]

2021년에는 중국 정부가 지원하는 그룹인 Hafnium이 Microsoft Exchange Server의 제로 데이 취약점을 악용하여 사이버 스파이 활동을 벌였다. ProxyLogon으로 알려진 이러한 결함으로 인해 공격자는 인증을 우회하고 임의 코드를 실행하여 전 세계 수천 개의 시스템을 손상시켰다.^[8]

2022년에는 이스라엘의 NSO 그룹이 개발한 스파이웨어인 페가수스가 iMessage 및 WhatsApp과 같은 메시징 앱에서 제로 클릭 취약점을 악용하는 것으로 밝혀졌다. 이러한 익스플로잇을 통해 공격자는 사용자 상호 작용 없이 대상 장치에 접근할 수 있었고, 감시 및 개인 정보 보호에 대한 우려를 높였다.^[9]

4. 1. 주요 사례

5. 윤리적 문제 및 시장

제로데이 취약점 정보의 수집과 사용에 관해서는 여러 가지 의견이 존재한다. 다수의 컴퓨터 보안 프로그램 제작자는 취약점의 특성과 그것들이 개인, 컴퓨터 웜, 바이러스 등에 의해 악용되는 경우를 더 잘 이해하기 위해 제로데이 취약점에 관한 연구를 한다. 그 외에도, 몇몇 제작자들은 자신의 연구 역량을 키우기 위해 취약점을 구매하기도 한다. 그런 프로그램의 예로는 [https://web.archive.org/web/20200723092049/https://www.zerodayinitiative.com/ TippingPoint's Zero Day Initiative]가 있다. 이런 취약점을 사고 파는 행위는 대부분의 지역에서 합법이지만, 그것을 발표하는 방법에 있어서는 많은 논란이 있다. 최근 독일에서는 사이버범죄 집회의 6조항을 포함하도록 판정을 내렸으며, EU의 정보 시스템 공격에 대한 프레임워크 결정 역시 취약점의 판매나 제작을 불법화할 가능성이 있다.

가장 공식적인 방법으로는 RFPolicy 발표 가이드라인을 따르거나 더 최근에 나온 [https://web.archive.org/web/20080618154002/http://www.oisafety.org/guidelines/secresp.html OIS 보안 취약점 보고와 반응의 가이드라인]을 따르는 것 등이 있다. 일반적으로 이런 가이드라인은 취약점의 공개 전에 제작자에게 알리지 않거나 패치 제작이 이루어질 수 있는 적당한 시간을 기다리는 것을 의무화하고 있다.

, 미국이 인지하고 있는 취약점을 패치할 수 있도록 공개할지, 아니면 자체적으로 사용하기 위해 비밀로 유지할지에 대한 논쟁이 계속되고 있다. 국가는 취약점을 공격적 또는 침투 테스트에서 방어적으로 사용하기 위해 비밀로 유지하기도 한다. 취약점을 공개하면 소프트웨어의 소비자 및 모든 사용자가 악성 코드 또는 데이터 유출의 피해를 입을 위험이 줄어든다.

제로 데이 취약점 공개는 일반적으로 발견, 보고, 패치 개발, 공개와 같은 단계를 거친다. 연구자가 취약점을 식별하면 "0일차"로 표시하고, 공급업체나 제3자에게 보고하여 해결 노력을 시작한다. 공급업체는 수정 사항을 개발하며, 복잡성에 따라 몇 주에서 몇 달이 걸릴 수 있다. 패치가 출시되면 세부 사항이 공개적으로 공유된다. 합의된 기간(일반적으로 90일) 내에 패치가 발행되지 않으면 일부 연구자는 조치를 촉구하기 위해 공개하기도 한다.

5. 1. 윤리적 문제

5. 2. 시장

6. 대응 및 보호

제로데이 보호란 제로데이 공격에 대항하여 대상 프로그램을 보호할 수 있는 능력을 말한다. 제로데이 공격은 개시된 이후에 며칠간 발견이 되지 않을 수 있다.^[27]

버퍼 오버플로와 같은 제로데이 메모리 훼손 취약점을 제한하는 수많은 기술들이 존재한다. 이러한 보호 메커니즘은 애플의 매킨토시 OS, 마이크로소프트 윈도우 비스타, 선 마이크로시스템 솔라리스, GNU/리눅스, 유닉스 및 유닉스 계열 환경 등 많은 운영 체제에 존재한다. 마이크로소프트 윈도우 XP 서비스팩 2에는 포괄적인 메모리 훼손 취약점에 대한 약간의 보호 메커니즘이 포함되어 있다.^[28] 데스크탑과 서버 보호 소프트웨어 역시 제로데이 버퍼 오버플로 취약점을 완화시키기 위해 만들어져있다.

포트 노킹 또는 단일 패킷 권한 데몬의 사용은 제로데이 공격에 대항하는 효과적인 보호막을 만들 수 있지만, 대량의 사용자가 참여하는 환경에는 적절하지 않다.

화이트리스팅 기술은 좋은 것으로 알려진 프로그램 또는 기관의 시스템 접속만을 허가하여 새롭거나 알려지지 않은 공격 프로그램의 접속을 차단한다. 이는 제로데이 위협을 효과적으로 막는 방법이지만, HIPS나 바이러스 사전의 블랙리스트 같은 다른 보호 기법과 병행되지 않으면 사용자에게 불편을 줄 수 있다.

제로데이 긴급 반응 팀(ZERT)는 제로데이 공격을 막는 비 제작자 패치를 배포하기 위해 결성된 소프트웨어 엔지니어들의 집단이다.^[29]

제로데이 공격을 막는 또 다른 방법으로는 제품을 업그레이드하기 전에 적당한 기간을 기다리는 것이 있다. 보통 소프트웨어 배포자는 사용자들에게 공격이 일어났음을 알리고, 업그레이드/업데이트에 패치를 포함시킨다.

제로 데이 공격은 정의상 이를 차단할 수 있는 패치가 없기 때문에, 취약점이 있는 소프트웨어 또는 하드웨어를 사용하는 모든 시스템이 위험에 노출된다. 여기에는 모든 패치가 최신 상태로 유지되는 은행 및 정부와 같은 보안 시스템도 포함된다. 보안 시스템은 알려진 취약점을 기반으로 설계되었으며, 제로 데이 공격에 대한 반복적인 악용은 장기간 탐지되지 않은 채 지속될 수 있다. 제로 데이 공격을 효과적으로 탐지하는 시스템에 대한 많은 제안이 있었지만, 이는 2023년에도 여전히 활발한 연구 분야이다.

많은 조직에서는 심층 방어 전술을 채택하여 공격 달성을 더 어렵게 만들고 있다. 접근 제어와 같은 기존의 사이버 보안 조치, 예를 들어 다단계 인증, 최소 권한 접근, 에어 갭은 제로 데이 공격으로 시스템을 손상시키는 것을 더 어렵게 만든다. 완벽하게 안전한 소프트웨어를 작성하는 것은 불가능하므로, 일부 연구자들은 악용 비용을 높이는 것이 사이버 공격의 부담을 줄이는 좋은 전략이라고 주장한다.

여러 기업에서 제로 데이 공격에 대응하기 위한 다양한 시스템을 제안하고 연구 개발을 진행하고 있다.

6. 1. 보호 기술

6. 2. 대응

6. 3. 한국의 대응 현황

7. 해적판 소프트웨어

'''제로데이 와레즈'''는 대중에게 배포된 당일 날 불법적으로 공개되거나 획득한 소프트웨어, 비디오, 음악, 또는 정보를 가리킨다. 공식 배포 전에 얻은 데이터의 경우엔 ‘네거티브 데이’ 또는 ‘-데이’ 라고도 한다. 제로데이 소프트웨어, 게임, 비디오나 음악은 공식 배포일 당일 날 불법적으로 얻었거나 불법적으로 복사한 것들을 말한다. 이런 것들은 일반적으로 해커나 유통사의 직원에 의해 일어나는 일이다.

참조

_[1] 논문 2017
_[2] 간행물 Backwards from zero: How the U.S. public evaluates the use of zero-day vulnerabilities in cybersecurity 2023
_[3] 뉴스 Zero day vulnerability trade is lucrative but risky https://techmonitor.[...] 2024-04-04
_[4] 논문 2022
_[5] 웹사이트 Heartbleed: Serious OpenSSL zero day vulnerability revealed https://www.zdnet.co[...] 2024-11-29
_[6] 웹사이트 The Shadow Brokers publishing the NSA vulnerabilities https://cyberlaw.ccd[...] 2024-11-29
_[7] 웹사이트 SolarWinds hack explained: Everything you need to know https://www.techtarg[...] 2024-11-29
_[8] 웹사이트 Businesses urged to act fast against ProxyLogon attack on Microsoft Exchange Server https://www.s-rminfo[...] 2024-11-29
_[9] 웹사이트 NSO Group’s Pegasus Spyware Returns in 2022 with a Trio of iOS 15 and iOS 16 Zero-Click Exploit Chains https://citizenlab.c[...] 2024-11-29
_[10] 웹사이트 ゼロデイとは https://kotobank.jp/[...] 2020-09-19
_[11] 문서 ゼロデイ攻撃: やられてから対策するよりも事前の障害物配備を, と訴えるCyvera http://jp.techcrunch[...]
_[12] 문서 ゼロデイ攻撃の手口と対策 http://www.keyman.or[...]
_[13] 문서 AdobeがFlash Playerの臨時パッチを公開、なお未解決の脆弱性も https://www.itmedia.[...]
_[14] 문서 Adobe Flash Player の脆弱性対策について(APSB15-02)(CVE-2015-0310) http://www.ipa.go.jp[...]
_[15] 문서 Flash Playerの最新版が提供開始、危険なゼロデイ脆弱性を修正(日経コンピューター) http://itpro.nikkeib[...]
_[16] 문서 CVE-2014-6271 http://cve.mitre.org[...]
_[17] 문서 更新：bash の脆弱性対策について(CVE-2014-6271 等) https://www.ipa.go.j[...]
_[18] 문서 Bash の脆弱性を標的としたアクセスの観測について （警察庁9月25日） https://www.npa.go.j[...]
_[19] 문서 Bash の脆弱性を標的としたアクセスの観測について 第二報（警察庁10月7日） https://www.npa.go.j[...]
_[20] 문서 共通脆弱性識別子CVE概説 https://www.ipa.go.j[...]
_[21] 문서 脆弱性対策：IPA 独立行政法人 情報処理推進機構 https://www.ipa.go.j[...]
_[22] 웹인용 제로 데이 공격에 대하여 (영어) http://netsecurity.a[...] 2008-09-15
_[23] 웹인용 제로 데이란 무엇인가? (영어) https://web.archive.[...] 2008-09-15
_[24] 웹인용 "'SANS, 제로 데이 웹 공격의 급증을 관찰'', ''컴퓨터월드'' (영어)" https://web.archive.[...] 2008-09-15
_[25] 문서 "「이메일의 잔여 위험 평가」 (영어)" http://www.avinti.co[...]
_[26] 간행물 "인터넷 보안 위협 리포트" 시만텍 사 2006-09
_[27] 웹인용 제로데이 공격이란? (영어) https://web.archive.[...] 2008-09-15
_[28] 웹인용 마이크로소프트 윈도우 XP 서비스팩 2에서의 기능 변화 (영어) https://web.archive.[...] 2008-09-15
_[29] 웹인용 제로데이 긴급 반응 팀 (영어) https://web.archive.[...] 2008-09-15