2022-05-27 04:50 (금)
제로데이가 그 어느 때보다 많이 악용된 2021년
상태바
제로데이가 그 어느 때보다 많이 악용된 2021년
  • 길민권 기자
  • 승인 2022.05.03 18:23
이 기사를 공유합니다

“적극적으로 악용되고 있는 위험도가 낮은 취약성이 조직에 잠재적으로 더 큰 영향을 미칠 수 있다”

맨디언트(Mandiant) 위협 인텔리전스는 2021년 말까지 악용된 80건의 제로데이를 식별했으며, 이는 2019년의 두 배가 넘는다고 전했다. 

맨디언트 발표에 따르면, 정부 후원 해킹그룹은 여전히 제로데이 취약점을 악용하는 주요 공격자이며, 중국 그룹이 주도하고 있다. 금전적인 동기를 가지고 제로데이 익스플로잇을 배포하는 공격자(특히 랜섬웨어 그룹)의 비율도 크게 증가했으며, 2021년에 식별된 제로데이 악용 공격자 3명 중 1명 꼴로 재정적 동기가 있었다. 

공격자는 주로 마이크로소프트, 애플 및 구글 제품에서 제로데이를 자주 악용했으며, 이는 이러한 벤더들의 인기를 반영한 것으로 보인다. 2021년에 제로데이 악용이 크게 증가하고 이를 사용하는 공격자가 다양해짐에 따라 거의 모든 산업 부문 및 지역의 조직, 특히 이러한 인기 있는 시스템에 의존하는 조직의 리스크 포트폴리오가 확대되고 있다고 전했다. 

맨디언트는 2012년부터 2021년까지 현장에서 악용된 것으로 식별된 200개 이상의 제로데이 취약점을 분석했다. 

그림 1: 2012~2021년 현장에서 확인된 제로데이 취약점 악용 현황(출처=맨디언트 블로그. 이하 동일)
그림 1: 2012~2021년 현장에서 확인된 제로데이 취약점 악용 현황(출처=맨디언트 블로그. 이하 동일)

위 그림 1에 나오는 것처럼 제로데이 악용은 2012년부터 2021년까지 증가했으며, Mandiant Threat Intelligence는 연간 악용되는 제로데이의 수가 계속 증가할 것으로 예상하고 있다. 2021년 말까지 맨디언트는 현장에서 악용된 80건의 제로데이를 식별했으며, 이는 이전 2019년 기록인 32건의 두 배가 넘는다. 맨디언트는 악용되는 제로데이 수의 증가에는 여러 요인들이 기여한다고 보고있다. 예를 들어, 클라우드 호스팅, 모바일 및 사물 인터넷(IoT) 기술로 지속적으로 이동함에 따라 인터넷에 연결된 시스템 및 장치의 규모와 복잡성이 증가하고 있다. 간단히 말해, 소프트웨어가 많아지면 소프트웨어 결함도 많아진다. 

익스플로잇 브로커 시장의 확장도 이러한 증가의 한 원인이 될 수 있으며, 위협 그룹은 물론 민간 기업과 연구원 모두가 제로데이 연구와 개발에 더 많은 리소스를 투입하고 있다. 마지막으로, 향상된 방어 기능을 통해 방어자는 이전보다 더 많은 제로데이 악용을 탐지할 수 있으며, 더 많은 조직이 다른 벡터를 통한 침해를 줄이기 위해 보안 프로토콜을 강화하고 있다.

◇정부 후원 그룹, 여전히 지배적이지만 재정적으로 동기가 부여된 제로데이 공격도 증가 중

그림 2: 2021년부터 확인된 동기별 제로데이 악용 비율
그림 2: 2021년부터 확인된 동기별 제로데이 악용 비율

제로데이 익스플로잇을 배포하는 재정적 동기가 있는 공격자의 비율이 증가하고 있지만, 정부 후원 스파이 그룹은 여전히 제로데이 취약점을 악용하는 주요 공격자다. 2014년부터 2018년까지는 재정적으로 동기가 부여된 공격자 중 소수만이 제로데이 취약점을 악용한 것으로 관찰되었지만, 2021년에는 제로데이를 악용 공격자의 약 1/3이 재정적 동기가 있었다. 또한 제로데이를 악용하는 새로운 위협 클러스터를 발견했지만 이들의 동기를 평가하기에는 이러한 클러스터 중 일부에 대한 정보가 아직 충분하지 않다.

◇중국 그룹, 지속적으로 정부 제로데이 공격을 주도

그림 3: 2021년 국가별 제로데이 악용 공격자
그림 3: 2021년 국가별 제로데이 악용 공격자

이전 분석에서 Mandiant는 2021년 중국 사이버 스파이 그룹이 악용한 것으로 의심되는 가장 많은 규모의 제로데이를 식별했으며, 2021년에는 최소한 러시아와 북한의 스파이 공격자가 적극적으로 제로데이를 악용했다. 2012년부터 2021년까지 중국은 다른 어떤 국가보다 더 많은 제로데이를 악용했다. 특히 지난 몇 년 동안 제로데이를 악용할 가능성이 있는 국가의 수가 증가하는 것을 목격했으며, 2012년 이후 최소 10개 국가에서 제로데이를 악용했을 가능성이 있다.

2021년 1월부터 3월까지 맨디언트는 총칭하여 프록시로그온(ProxyLogon) 취약점으로 알려진 4개의 제로데이 익스체인지(Exchange) 서버 취약점을 악용하는 여러 중국 스파이 활동 클러스터를 목격했다. 마이크로소프트는 이 캠페인과 관련된 활동을 ‘하프늄(Hafnium)’이라 명명했다. 

관련된 위협 클러스터 중 일부는 대상을 신중하게 선택한 것으로 나타났지만, 일부 클러스터는 거의 모든 업종과 지역에서 수만 대의 서버를 손상시켰다. 2020년과 2021년 중국의 사이버 스파이 활동은 더 이상 정부의 공식 성명과 피해 국가의 기소가 베이징을 막지 못할 것임을 시사한다. 미국 법무부(DOJ)가 기소했던 이전에 활동 정지 상태였던 사이버 스파이 그룹들이 활동을 재개한 데 이어 중국 스파이 그룹도 갈수록 대담해지고 있다.

2016년과 2017년 이후 급격한 변화로, 러시아 GRU가 후원하는 APT28이 2021년 말에 마이크로소프트 엑셀(Microsoft Excel)에서 제로데이를 악용했을 것으로 추측할 때까지 어떠한 제로데이도 식별하지 못했다. 그러나 오픈 소스 보고에 따르면 러시아의 TEMP.Isotope가 소포스 방화벽 제품에서 중요 인프라 네트워크를 제로데이의 표적으로 삼았을 가능성이 있는 활동을 포함하여 2020년과 2021년에 다른 러시아 정부 후원 공격자가 여러 제로데이를 악용한 것으로 나타났다.

◇타사 벤더가 주요 익스플로잇 브로커로 성장

맨디언트는 2017년 말부터 공격적인 사이버 툴 및 서비스를 제공하는 민간 기업의 고객으로 알려지거나 의심되는 그룹이 활용하는 제로데이의 수가 크게 증가한 것에 주목했다.

2021년에 멀웨어 벤더의 고객이 적극적으로 악용한 최소 6개의 제로데이 취약점을 파악했으며, 여기에는 두 곳의 개별 벤더가 개발한 도구에서 악용된 것으로 보고된 취약점 1개가 포함된다. 2021년에는 이스라엘 상업 벤더가 최소 5개의 제로데이 취약점을 악용한 것으로 보고되었다.

◇랜섬웨어 작전과 연계된 제로데이 공격

2015년 이후, 우리는 범죄 익스플로잇 키트에 포함된 제로데이 취약점이 급격히 감소하는 것을 목격했는데, 아마도 저명한 익스플로잇 개발자의 체포를 비롯한 몇 가지 요인 때문일 것이다. 그러나 지하 범죄 조직이 랜섬웨어 작업을 중심으로 뭉치면서 2019년 이후 제로데이 취약점을 악용하는 랜섬웨어 감염이 급증하는 것을 관찰했다. 이러한 추세는 이러한 정교한 랜섬웨어 그룹이 이전에 익스플로잇 키트용으로 개발되었을 수 있는 제로데이를 악용하는 데 필요한 기술을 모집하거나 구매하기 시작했음을 나타내는 것일 수 있다.

맨디언트는 랜섬웨어가 양과 영향 모두에서 상당히 성장했음을 확인했다. 상당한 금전적 이익과 함께 랜섬웨어를 지원하는 점점 더 세분화되고 아웃소싱되고 전문화된 생태계는 공격자에게 제로데이 익스플로잇 개발 및 또는 획득을 위한 두 가지 실행 가능한 경로, 즉 재정적 리소스와 공격자 정교함을 제공했다.

맨디언트는 2021년에 개별 공격자가 개별 VPN 어플라이언스의 결함을 악용하여 피해자 네트워크에 대한 액세스 권한을 획득한 후 랜섬웨어를 배포한 최소 2건의 사례를 관찰했다.

◇인기있는 벤더는 제로데이 공격의 인기 있는 타깃

그림 4: 2021년 확인된 벤더별 제로데이 악용 비율
그림 4: 2021년 확인된 벤더별 제로데이 악용 비율

2021년에 12개 개별 벤더의 제로데이를 분석한 결과, Microsoft, Apple 및 Google 제품의 취약점이 전체 제로데이 취약점의 75%를 차지한 것으로 나타났다. 이는 전 세계 기업과 사용자 사이에서 이러한 제품의 인기가 높았기 때문일 수 있다. 이러한 주요 제공업체의 제품들이 널리 사용되는 것을 감안하면 악용으로 인한 위협은 여전히 상당한 수준이다. 또한 타깃으로 삼는 벤더의 다양성이 증가하고 있어 패치 우선순위가 복잡해지고 한 두 벤더에만 더 이상 집중할 수 없으므로 조직은 더 어려운 상황에 놓이게 될 수 있다.

2012년부터 2017년까지 어도비는 두 번째로 많이 악용된 벤더였으며, 전체 제로데이 중 거의 20%가 어도비 플래시만 악용했다. 그 이후로 어도비 악용이 크게 감소했는데, 이는 플래시의 단종으로 인한 것임이 거의 확실하다.

◇​아웃룩

익스플로잇을 판매하는 벤더와 맞춤형 익스플로잇을 개발할 수 있는 정교한 랜섬웨어 작전의 확산 등으로 인해 정부가 후원하고 재정적으로 동기를 부여받은 다양한 공격자가 제로데이 익스플로잇을 기반으로 하는 중요한 캠페인에 점점 더 쉽게 접근할 수 있게 될 것으로 판단한다. 특히 2021년에 제로데이 취약점 악용이 크게 증가하면서 거의 모든 산업 부문 및 지역의 조직의 리스크 포트폴리오가 확장되었다. 악용은 2021년에 최고조에 달했지만, 하반기에 새로운 제로데이 악용 속도가 둔화된 징후가 있다. 그러나 제로데이 악용은 여전히 이전에 비해 높은 비율로 발생하고 있다.

◇패치 우선순위 지정의 의미

많은 조직에서 패치 우선순위를 효과적으로 지정하여 악용 위험을 최소화하기 위해 계속해서 고심하고 있다. 조직이 환경에 가장 큰 영향을 미칠 가능성이 있는 위협 유형과 가장 큰 피해를 줄 수 있는 위협의 우선순위를 지정하는 방어 전략을 구축하는 것이 중요하다. 조직이 그들과 가장 관련이 있는 다양한 공격자, 멀웨어 패밀리, 캠페인 및 전술에 대한 명확한 그림을 가지고 있으면 이러한 위협이 취약성의 적극적인 악용과 연결될 때 더 세밀하게 우선순위를 지정할 수 있다. 

조직에 대해 현장에서 적극적으로 악용되고 있는 위험도가 낮은 취약성이 적극적으로 악용되지 않는 높은 등급의 취약성보다 조직에 잠재적으로 더 큰 영향을 미칠 수 있다. 새로운 CISA 지침은 적극적으로 악용되는 것으로 알려진 취약점에 중점을 둔다. 맨디언트는 이것이 보안 태세를 강화하고 패치 관리 절차를 강화하는 데 도움이 될 것이라고 강조했다.

맨디언트는 “제로데이 악용이 확대되고 있는 동안 악성 공격자는 종종 알려진 취약점이 공개된 직후에도 계속해서 악용한다. 따라서 과거의 표적 대상에서 얻은 교훈과 공개와 악용 간의 일반적인 기간에 대한 이해를 계속해서 통합함으로써 보안을 개선할 수 있다”며 “또한 조직이 표적 대상이 되기 전에 완화 조치를 적용할 수 없는 경우에도 이러한 시스템에 긴급히 패치가 필요한지 여부에 대한 추가적인 통찰력을 제공할 수 있다. 패치 적용의 지연은 패치가 적용되지 않거나 완화 조치가 이루어지지 않은 소프트웨어를 지원하는 조직이 영향을 받을 리스크를 가중시킬 뿐이다”라고 밝혔다. 

★정보보안 대표 미디어 데일리시큐!★