누구도 공개하지 않아 패치도 없는 취약점...완벽히 막는 건 불가능
마치 스페어 키 위치 알고 있는 강도와 같아...평소 상태를 미리부터 숙지해야

[보안뉴스 문가용 기자] 도둑놈들로부터 집을 지키려면 일단 집을 비울 때마다 문과 창문을 잠가야 한다. 사이버 보안도 비슷하다. 네트워크를 지키려면 일단 제일 먼저 해야 할 건 애플리케이션과 하드웨어를 최신 버전으로 만드는 것이다. 하지만 아무도 모르는 취약점이 있다면 어떨까? 그래서 패치라는 게 없다면 말이다.


그런 취약점을 우리는 제로데이라고 부른다. 발견되지도 않았고 따라서 패치가 없는 취약점 말이다. 이를 현실 세계에 비교해보면, 마치 집 주인이 스페어 키를 숨겨두는 장소를 알고 있는 강도가 존재하는 것과 비슷하다. 이 강도는 스페어 키 때문에 언제나 자기가 편한 대로 집을 들락거릴 수 있다. 집 주인은 뭔가가 없어지고 나서야 일이 잘못된 걸 알 수 있을 뿐이다.

제로데이 익스플로잇이란?
제로데이 취약점, 그리고 이를 악용하는 ‘제로데이 익스플로잇’은 정확히 말해 하드웨어, 소프트웨어, 네트워크 내에 존재하지만 아직 공개되지 않은 취약점과 그에 따른 위험을 말한다. 따라서 해결 방법이 당장에 존재하지 않는 약점이기도 하다. 보통은 사이버 공격자들이 실시하는 캠페인을 추적하다가 발견되곤 한다. 뭔가가 잘못된 걸 인지하고 나서야 발견된다는 것이다. 심지어 소프트웨어가 출시된 첫 날 익스플로잇이 되는 경우도 있다. 진정한 제로데이 익스플로잇이다.

개발자들이 제로데이를 발견하고 패치를 만드는 시간까지 제로데이를 발견한 공격자들은 마음껏 이를 사용할 수 있게 된다. 공격자들에게는 완전한 자유를 주고, 개발자들에게는 시한이 하나도 남지 않은(즉, 0일) 압박감을 주는 게 바로 이 제로데이 취약점들이다. 방어를 하려는 자들에게도 역시 완전한 재앙일 수밖에 없다.

제로데이를 해결하려면 먼저 개발사나 제조사 측에서 패치를 개발하고 배포해야 한다. 그리고 이걸 사용자들이 스스로 다운로드 받아 설치해야 한다. 그러나 사용자가 배포일자를 제대로 확인한다고 해도 ‘다운로드 받아 설치’ 자체에만 시간이 오래 걸린다. 특히 장비가 많고 복잡하게 얽혀 있는 회사라면 전사적인 다운로드와 설치까지 몇 시간씩 걸릴 수 있다. 심지어 며칠에서 몇 주까지 넘어가는 사례도 있을 정도다. 이런 모든 시간들이 해커들에게는 전부 자유롭게 돌아다니고 마음껏 공격할 수 있는 시간이 된다.

제로데이 익스플로잇의 결과는 다양하다. 공격자들은 제로데이를 통해 바이러스를 심기도 하고, 랜섬웨어 공격을 하기도 하며, 트로이목마로 여러 가지 정보를 훔쳐내거나 추가 멀웨어를 심기도 한다. 제로데이 취약점은 은둔해서 홀로 활동하는 해커가 발견하기도 하며, 사이버 범죄 단체가 조직적으로 연구해 찾아내기도 하며, 심지어 국가 정보 기관이 수집해 저장해두기도 한다. 일반 피해자 입장에서는 자신이 제로데이를 가지고 있다는 것과, 그것이 익스플로잇 되고 있다는 걸 전혀 모를 때가 많다.

뉴스에서 나오는 제로데이
2017년 일부 해커들이 마이크로소프트 워드에 있던 제로데이를 익스플로잇 했다. 이를 통해 공격자들은 원격 접근용 트로이목마(RAT)를 심었고, 피해자의 이메일과 로그인 정보를 조용히 수집했다.

2014년 또 다른 해커들이 스피어피싱 이메일 캠페인을 통해 소니 픽처(Sony Picture)를 공격했다. 이 때도 이전에 발견하지 못했던, 제로데이 취약점이 활용됐다. 공격자들은 네트워크 장비들을 사용 불능 상태로 만들어 회사 전체의 기능을 마비시키다시피 했으며, 그 과정에서 입수한 이메일을 공개해 여러 사람들에게 수치감을 안겨주기도 했다. 소니에서 아직 개봉하지 않은 영화들까지 공개하는 일을 저질렀다.

어떻게 방어해야 하는가?
제로데이 익스플로잇, 즉 스페어 키가 있는 위치를 알고 있는 강도를 우리는 어떻게 막아야 할까? 사실 인류 최고의 기술이 집약된 인공지능과 머신러닝이 있어도 완벽한 방어는 할 수 없다. 오히려 보안 업계에서 지속적으로 강조해온 ‘베스트 프랙티스’ 혹은 보안 실천 수칙이 더 효과적인 방어책이 될 수 있다. 이는 다음과 같다.

1) 장비나 네트워크의 정상적인 상태가 무엇인지 숙지하고, 그걸 바탕으로 비정상적인 행위나 현상을 빠르게 파악할 수 있도록 한다. 수상한 행위에 대한 모니터링도 꾸준히 진행한다. 알려지지 않은 취약점이므로 패치나 업데이트를 능동적으로 할 수 없지만, 네트워크에서 벌어지는 각종 행위들 중 수상한 걸 짚어낼 수는 있다.

2) 나에게 처할 수 있는 위험에 대해 숙지하고, 그에 대한 공격 시나리오들을 예상한다. 제로데이 취약점이 존재한다는 것 자체가 문제의 핵심은 아니다. 사이버 공격자들이 노려봄직한 뭔가가 있다는 것 자체가 문제의 근원이다. 제로데이는 그런 그들에게 하나의 공격 통로가 될 뿐이다. 그러므로 내가 가지고 있는 디지털 자산이 무엇이며, 그것이 어떤 자들에게 어떤 가치가 있을 수 있는지, 얼마나 노려봄직 한지, 어떤 방식으로 들어올지 예상해야 한다.

3) 보안에 대해 조언할 수 있는 믿음직한 사람을 알아 둔다. 제로데이 익스플로잇 사태가 정말로 발생한다면, 1분 1분이 중요해진다. 위에서 말했다시피 패치까지 걸리는 시간이 공격자들에게 주어진 자유이기 때문이다. 그러니 외부의 보안 전문가나 전문 업체와 미리미리 관계를 맺고 필요할 때 급히 도움을 받을 수 있는 것이 좋다.

글 : 제로데이 아크틱(Zeroday Arctic)
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>