2024년 제로데이 취약점 공격 자체는 감소했다. 그러나 패치가 없었던 기업 제품의 결함 수는 증가하고 있으며, 이는 공격자가 기업 소프트웨어 및 기기를 악용해 기업 네트워크에 빠른 초기 액세스를 확보하는 데 더욱 집중하고 있음을 보여준다.
구글 위협 인텔리전스 그룹(GTIG)의 연구진은 연간 제로데이 보고서에서 “인기 있는 최종 사용자 기술과 악용의 역사가 반복되고 기업 중심 제품에 대한 표적화가 증가하고 있다. 미래의 제로데이 악용 시도를 줄이기 위해 더 광범위하고 다양한 업체가 사전 예방적 보안 조치를 강화해야 할 것”이라고 밝혔다.
GTIG는 2024년 총 75개의 제로데이 취약점을 추적했으며, 이는 2023년의 98개에서 감소한 수치다. 식별된 제로데이 취약점 중 33개(44%)는 기업 기술 타겟팅으로, 2023년 대비 7% 증가했으며, 주로 보안 및 네트워크 어플라이언스의 악용 증가에 의해 주도되었다.
구글이 최종 사용자 제품에 영향을 미치는 것으로 분류한 나머지 42건의 제로데이 취약점은 운영체제 및 브라우저의 취약점으로, 기업에도 영향을 미친다.
브라우저 및 모바일 제로데이 공격은 감소
마이크로소프트 윈도우는 2023년에 16건이었던 제로데이 악용 건수가 22건으로 가장 크게 증가했다. 안드로이드는 2023년과 동일한 7건의 제로데이 악용이 발생했지만, iOS는 9건에서 2건으로 크게 감소했다.
브라우저 측면에서는 구글 크롬이 7개의 패치되지 않은 취약점을 통해, 모질라 파이어폭스가 1개, 애플의 사파리가 3개(2023년에는 11개)를 통해 공격을 받았다.
애플리케이션 샌드박싱과 같은 모바일 기기에 추가된 보안 계층으로 인해, 제로데이 공격을 성공하려면 일반적으로 여러 취약점을 연쇄적으로 악용해 높은 권한으로 원격 코드를 실행해야 한다. 모바일 브라우저를 포함한 모바일 기기는 정부 및 정보 기관에 제품을 판매하는 상업용 감시 업체(CSV)의 주요 표적이 되고 있다. 이들 업체는 일반적으로 원격 또는 물리적 접근을 통해 감시 대상의 휴대폰에서 정보를 얻으려고 한다.
한 예로, 지난해 세르비아에서 학생 운동가의 압수된 안드로이드 휴대폰을 잠금 해제하기 위해 이스라엘의 디지털 포렌식 기업인 셀러브라이트(Cellebrite)가 개발한 제품과 함께 세 가지 취약점을 결합한 악용 체인이 사용되었다. 취약점 중 하나인 CVE-2024-53104는 안드로이드 USB 비디오 클래스(UVC) 커널 드라이버에 영향을 미치며, 2월에 패치되었다. 다른 두 가지 취약점인 CVE-2024-53197 및 CVE-2024-50302는 안드로이드의 기반이 되는 리눅스 커널에서 패치되었다.
구글 GTIG 연구원들은 “정부 지원 행위자가 제로데이 악용의 주요 주체로서 역사적인 역할을 계속할 것으로 예상되지만, CSV는 이제 제로데이 악용에 상당한 양을 차지하고 있다”라고 밝혔다. “2023년부터 2024년까지 CSV에 기인한 제로데이 취약점의 총 수와 비율은 감소했지만, 이는 운영 보안 관행에 대한 강조가 증가한 데 일부 기인한 것으로 보이다. 그럼에도 불구하고 2024년의 수는 2022년 및 이전 연도보다 여전히 현저히 높다.”
네트워크 엣지 기기 악용의 급증
기업 전용 제품에서 발견된 33개의 제로데이 취약점 중 20개는 VPN, 보안 게이트웨이, 방화벽 등 일반적으로 네트워크 엣지에 위치한 하드웨어 기기를 대상으로 했다. 작년에 주목할 만한 표적은 이반티 클라우드 서비스 어플라이언스(Ivanti Cloud Services Appliance), 팔로 알토 네트워크의 PAN-OS, 시스코 어댑티브 시큐리티 어플라이언스, 이반티 커넥트 시큐어 VPN(Ivanti Connect Secure VPN) 등이었다.
네트워크 엣지 기기를 대상으로 한 공격은 2024년의 여러 주요 제로데이 악용 트렌드 중 하나였다.
실제로, 지난해 자사 제품에서 총 7건의 제로데이 악용이 발생한 이반티는 마이크로소프트와 구글에 이어 세 번째로 가장 많이 표적이 된 업체가 되었으며, 지난 몇 년 동안 3위를 차지했던 애플을 제치고 2위를 차지했다.
매력적인 표적이 되는 이유는 여러 가지지만, 그 중 하나는 대다수 경우 인터넷에서 직접 액세스할 수 있기 때문이다. 첫째, 이러한 제품은 다양한 기기와 높은 권한을 가진 사용자를 연결하도록 설계되었다. 따라서 네트워크 내에서 측면 이동을 수행할 수 있는 좋은 기회를 제공한다.
둘째, 임베디드 운영체제를 실행하기 때문에 보안 팀이 일반적인 엔드포인트 탐지 및 대응 도구를 배포할 수 없다. 가시성이 부족하기 때문에 침해되어도 오랫동안 발견되지 않을 수 있다.
마지막으로, GTIG에 따르면 이러한 기기에서 원격 코드 실행이나 권한 상승을 달성하는 것은 일반적으로 더 쉬우며 복잡한 익스플로잇 체인이 필요하지 않다. 그 결과, 공격자는 익스플로잇을 개발하는 데 드는 노력을 줄이면서 개별 취약점을 통해 더 많은 가치를 얻을 수 있다.
네트워크 경계 기기 악용의 증가는 사고 대응 조사를 전문으로 하는 구글의 맨디언트 사업부에서도 관찰되었다. 맨디언트는 자체 연례 보고서에서 취약점 악용이 2024년에도 여전히 초기 접근 방법의 1위를 차지했으며, 보안 및 네트워킹 기기의 취약점이 악용된 결함 목록에서 1위를 차지했다고 밝혔다.
제로데이 악용의 목표와 동기
지난해 제로데이 취약점을 가장 많이 활용한 주체는 사이버 스파이 그룹으로 17건이었으며, 이 중 중국 그룹이 5건, 북한이 5건, 러시아가 1건, 한국이 1건을 차지했다. 북한은 APT 그룹이 정권 자금 조달을 위해 사이버 스파이 활동과 재정적 동기의 범죄를 모두 수행한다는 점에서 특수한 사례이다. 러시아와 연관된 국가 지원 단체가 아닌 두 개의 제로데이 취약점은 러시아 단체에 귀속되었으며, 이들은 재정적 범죄와 사이버 스파이 활동을 모두 수행한다.
사이버 스파이 공격에서 공격자의 위치에 대한 충분한 정보를 제공하지 않은 3개의 제로데이 취약점이 사용되었다. CSVs가 8개의 제로데이 취약점을 담당했으며, 국가 지원이 없는 재정적 동기를 가진 단체가 5개를 차지했다.
GTIG 연구진은 “2024년에 식별된 총 75개의 제로데이 취약점 중 34개(약 45%)의 악용을 특정 위협 행위자에게 귀속시켰다. 2023년 제로데이 분석 결과와 비교해 위협 행위자에게 귀속된 악용 비율은 약간 감소했지만, 2022년 약 30%에 비해 여전히 현저히 높다”라고 보고했다.
결함 유형에 대해서는, 가장 흔한 취약점 원인은 사용 후 메모리 문제(8건)였으며, 그 다음으로 OS 명령어 삽입(8건)과 크로스 사이트 스크립팅(XSS) 문제(6건)가 뒤를 이었다. 명령어 및 코드 삽입 취약점은 거의 전적으로 네트워크 및 보안 기기 및 소프트웨어에서 발견되었다. 2024년에 확인된 제로데이 결함의 가장 흔한 영향은 원격 코드 실행 및 권한 상승이었다.
GTIG 팀은 “제로데이 악용에 대한 방어는 전략과 우선 순위 결정의 경쟁이 계속될 것이다.”라고 말했다. “제로데이 취약점은 획득이 쉬워지고 있을 뿐만 아니라, 새로운 유형의 기술을 활용하는 공격자가 경험이 부족한 업체를 압박할 가능성이 높다. 지금까지 기업은 개인 또는 기업의 위협과 공격 표면에 따라 패치 프로세스의 우선 순위를 정해 왔지만, 더 광범위한 추세를 파악하고 주요 업체의 완화 노력에서 얻은 교훈을 바탕으로 보다 구체적인 접근 방식을 마련해야 할 것”이라고 조언했다.
dl-itworldkorea@foundryco.com
lconstantin editor@itworld.co.kr
저작권자 Foundry & ITWorld, 무단 전재 및 재배포 금지
이 기사의 카테고리는 언론사의 분류를 따릅니다.