제로데이 공격(zero day attack)이란? /정의/대상/사례/예방

제로 데이(zero day)의 정의

 

Zero day는 해커가 시스템을 공격하는 데 사용할 수 있는 최근에 발견된 보안 취약점을 설명하는 용어입니다. 공급 업체 또는 개발자가 결함을 방금 알게 됐다는 사실을 의미합니다. 제로 데이 공격은 개발자가 문제를 해결하기 전에 해커가 결함을 악용할 때 발생합니다. 취약점, 익스플로잇 및 공격이라는 단어는 일반적으로 제로 데이와 함께 사용됩니다. 패치가 출시되면 취약점을 더 이상 제로 데이라고 부르지 않습니다.
제로 데이 익스플로잇은 악의적인 사용자가 취약점이 있는 시스템을 공격하는 데 사용하는 기술을 말합니다. 제로 데이 동안 공개적으로 알려졌기 때문에 제로 데이 익스플로잇이라고 부릅니다. 익스플로잇에 대한 데이터는 일반적으로 공격이 완료된 후에만 분석할 수 있으므로 익스플로잇을 방어하는 것은 매우 어렵습니다. 이러한 공격은 다형성 웜, 바이러스, 트로이 목마 및 기타 멀웨어의 형태를 취할 수 있습니다.

 

 

제로 데이 공격(zero day attack)의 작동 방법

 

소프트웨어에는 종종 해커가 악용하여 혼란을 일으킬 수 있는 보안 취약성이 있습니다. 소프트웨어 개발자는 항상 패치할 취약점을 찾고 있습니다. 그러나 때때로 해커나 악의적인 행위자가 소프트웨어 개발자보다 먼저 취약점을 발견합니다. 취약점이 열려있는 동안 공격자는 이를 악용하는 코드를 작성하고 구현할 수 있습니다. 이것을 익스플로잇 코드라고 합니다. 익스플로잇 코드는 신원 도용이나 기타 형태의 사이버 범죄를 일으킬 수 있습니다. 공격자가 제로 데이 취약점을 식별하면 취약한 시스템에 접근할 수 있는 방법이 필요한데 사회적으로 조작된 이메일을 통해 이를 수행합니다. 즉, 알려진 또는 합법적인 사용자가 보낸 것으로 추정되지만 실제로는 공격자가 보낸 이메일입니다. 이 메시지는 사용자가 파일을 열거나 악성 웹 사이트를 방문하는 것과 같은 작업을 수행하도록 유도합니다. 이렇게 하면 공격자의 맬웨어가 다운로드되어 사용자의 파일에 침투하고 기밀 데이터를 훔칩니다.
취약점이 알려지면 개발자는 이를 패치하여 공격을 막습니다. 그러나 보안 취약성은 즉시 발견되지 않을 때도 있습니다. 개발자가 공격을 유발한 취약점을 식별하는 데 며칠, 몇 주 또는 몇 달이 걸릴 수 있습니다. 제로 데이 패치가 출시된 후에도 모든 사용자가 빠르게 구현하는 것은 아닙니다. 최근 몇 년 동안 해커들은 발견 직후 취약점을 더 빨리 악용했습니다. 익스플로잇은 다크 웹에서 많은 돈을 받고 팔 수 있습니다. 

 

 

제로 데이 공격의 대상

운영체제, 웹 브라우저, Office 응용 프로그램, 오픈 소스 구성 요소, 하드웨어 및 펌웨어, 사물 인터넷 (IoT)

브라우저 또는 운영 체제와 같은 취약한 시스템을 사용하는 개인 해커는 보안 취약성을 사용하여 장치를 손상시키고 봇넷을 구축할 수 있습니다. 지적 재산과 같은 중요한 비즈니스 데이터에 액세스 할 수 있는 개인 하드웨어 장치, 펌웨어 및 사물 인터넷 대기업 및 조직 정부 기관, 정치적 표적 또는 국가 안보 위협과 같이 가치 있는 표적에 대해 수행되는 표적 공격과 일반적으로 운영 체제나 브라우저와 같은 취약한 시스템의 사용자를 상대로 하는 공격이 있습니다.
공격자가 특정 개인을 표적으로 삼지 않는 경우에도 많은 사람들이 제로 데이 공격 (보통 부수적 피해)의 영향을 받을 수 있습니다. 

 

제로 데이 공격(zero day attack)을 식별하는 방법

제로 데이 취약점은 데이터 암호화 누락, 인증 누락, 알고리즘 손상, 버그, 암호 보안 문제 등과 같은 여러 형태를 취할 수 있기 때문에 감지하기 어려울 수 있습니다. 이러한 유형의 취약점의 특성으로 인해 제로 데이 익스플로잇에 대한 자세한 정보는 익스플로잇이 식별된 후에만 ​​제공됩니다.
제로 데이 익스플로잇의 공격을 받은 조직은 클라이언트 또는 서비스에서 발생하는 예상치 못한 트래픽이나 의심스러운 검색 활동을 볼 수 있습니다. 제로 데이 감지 기술 중 일부는 다음과 같습니다.

기존 악성 코드 데이터베이스 사용 및 참조로 작동하는 방식. 이러한 데이터베이스는 매우 빠르게 업데이트되고 참조 지점으로 유용할 수 있지만 정의에 따라 제로 데이 공격은 새롭고 알려지지 않았습니다. 따라서 기존 데이터베이스가 알려줄 수 있는 정도에는 제한이 있습니다.
또는 일부 기술은 대상 시스템과 상호 작용하는 방식을 기반으로 제로 데이 맬웨어 특성을 찾습니다. 이 기법은 들어오는 파일의 코드를 검사하는 대신 기존 소프트웨어와의 상호 작용을 살펴보고 악의적인 작업으로 인한 것인지 확인하려고 합니다.
시스템과의 과거 및 현재 상호 작용 데이터를 기반으로 안전한 시스템 동작에 대한 기준을 설정하기 위해 이전에 기록된 익스플로잇의 데이터를 탐지하는 데 머신 러닝이 점점 더 많이 사용되고 있습니다. 사용 가능한 데이터가 많을수록 더 신뢰할 수 있는 탐지가 됩니다.
종종 서로 다른 감지 시스템의 하이브리드가 사용됩니다.

 

제로 데이 공격(zero day attack)의 사례

최근 제로 데이 공격의 예는 다음과 같습니다.

 

• Chrome : 2021 년 Google의 Chrome은 일련의 제로 데이 위협을 겪으면서 Chrome이 업데이트를 발행했습니다. 취약점은 웹 브라우저에서 사용되는 V8JavaScript 엔진의 버그에서 비롯되었습니다.
• ZOOM : 2020년에 발견된 이 제로 데이 공격 사례에는 해커가 이전 버전의 Windows를 실행하는 경우 사용자의 PC에 원격으로 액세스 하는 것이 포함되었습니다. 대상이 관리자인 경우 해커는 컴퓨터를 완전히 장악하고 모든 파일에 액세스 할 수 있습니다.
• 애플 iOS : Apple의 iOS는 주요 스마트폰 플랫폼 중 가장 안전한 것으로 설명되지만 2020년에 공격자가 iPhone을 원격으로 손상시킬 수 있는 제로 데이 버그를 포함하여 최소 두 세트의 iOS 제로 데이 취약점에 희생되었습니다.
• Microsoft Windows, 동유럽 : 이 공격은 Microsoft Windows의 취약한 부분인 로컬 에스컬레이션 권한과 동유럽의 정부 기관을 표적으로 삼았습니다. 제로 데이 익스플로잇은 Microsoft Windows의 로컬 권한 취약성을 악용하여 임의 코드를 실행하고 애플리케이션을 설치하며 손상된 애플리케이션의 데이터를 보고 변경했습니다. 공격이 식별되어 Microsoft 보안 대응 센터에 보고 되면 패치가 개발되고 배포되었습니다.
• 마이크로 소프트 워드(2017년) : 이 제로 데이 공격은 개인 은행 계좌를 손상시켰습니다. 피해자는 무의식적으로 악의적인 Word 문서를 연 사람들이었습니다. 문서에 원격 콘텐츠로드 프롬프트가 표시되어 사용자에게 다른 프로그램의 외부 액세스를 요청하는 팝업 창이 표시되었습니다. 피해자가 예 버튼을 클릭하면 문서는 뱅킹 로그인 자격 증명을 캡처할 수 있는 악성 코드를 장치에 설치했습니다.
• Stuxnet : 제로 데이 공격의 가장 유명한 사례 중 하나는 Stuxnet입니다. 주요 목표는 이란의 핵 프로그램을 방해하기 위한 것이었고 이 웜은 Siemens Step 7 소프트웨어의 취약성을 통해 PLC를 감염시켜 PLC가 조립 라인 기계에서 예상치 못한 명령을 수행하도록 했습니다. Stuxnet의 이야기는 이후 Zero Days라는 다큐멘터리로 만들어졌습니다.

 

 

제로 데이 공격(zero day attack)의 예방 방법

 

1. 모든 소프트웨어와 운영 체제를 최신 상태로 유지하고 바이러스 백신 소프트웨어 솔루션을 사용하도록 합니다.
2. 필수 애플리케이션만 사용하도록 합니다. 소프트웨어가 많을수록 잠재적인 취약성이 높아집니다. 필요한 애플리케이션만 사용하면 네트워크에 대한 위험을 줄일 수 있습니다.
3. 방화벽을 사용하도록 합니다. 방화벽은 제로 데이 위협으로부터 시스템을 보호하는 중요한 역할을 합니다. 필요한 트랜잭션만 허용하도록 구성하여 최대 보호를 보장할 수 있습니다.
4. 조직 내에서 사용자를 교육합니다. 많은 제로 데이 공격은 인적 오류를 이용합니다. 직원과 사용자에게 좋은 안전 및 보안 습관을 가르치면 온라인에서 안전하게 유지하고 제로 데이 공격 및 기타 디지털 위협으로부터 조직을 보호할 수 있습니다.