제로데이 공격

제로데이 공격(Zero-Day Attack)은 컴퓨터 소프트웨어의 취약점(exploit)을 공격하는 기술적 위협으로, 해당 취약점에 대한 패치가 나오지 않은 시점에서 이루어지는 공격을 말한다.

개요[편집]

제로데이 공격은 보안 취약점이 발견되었을 때 그 문제의 존재 자체가 널리 공표되기도 전에 해당 취약점을 악용하여 이루어지는 보안 공격이다. 제로데이 공격의 가장 큰 특징은 공격의 신속성으로, 일반적으로 컴퓨터에서 취약점이 발견되었을 때 제작자나 개발자는 취약점을 보완하는 패치를 배포하고 사용자가 이를 내려받아 대처하는 것이 관례이나, 제로데이 공격은 대응책이 공표되기도 전에 신속한 공격이 이루어지기 때문에 대처 방법이 없다. 아직 알려지지 않은 취약 지점도 공격할 수 있는 알려지지 않은 프로그램 공격도 이에 속하며, 공격에 이용된 패킷의 특징을 분석하여 아직 발견되지 않은 취약점을 이용한 공격을 차단하는 연구도 진행되고 있으나 아직까지도 확실한 해결책은 발견되지 않고 있다.^[1]

특징[편집]

공격 절차[편집]

제로데이 공격은 멀웨어 제작자들이 제로데이 대상물의 취약점으로 여러 가지 경로를 통해 공략할 수 있다. 사용자들이 허위 웹 사이트에 접근할 때, 사이트의 코드가 웹 브라우저의 약점을 파고들 수 있다. 웹 브라우저는 널리 사용되기 때문에 더욱 공격의 대상이 되기 쉽다. 해커들은 첨부 파일을 사용자가 열어볼 때 프로그램의 약점을 파고들 수 있는 SMTP를 통해 이메일을 보내기도 한다. 특정 파일 타입을 더 선호하는 공격자들도 상당히 많은데, 이는 US-CERT 같은 데이터베이스에서 공격 빈도가 높아지는 것으로 알 수 있다. 악의를 가진 사용자는 멀웨어를 만들어 이런 파일 타입의 프로그램을 이용, 시스템을 공격하거나 기밀 데이터를 훔칠 수 있다. 제로데이 공격은 무방비 시간대가 위협이 개시된 시점과 프로그램 제작자가 패치를 내놓은 시점 사이에 존재할 때 일어난다. 바이러스에 있어서, 트로이 목마나 다른 제로데이 공격의 경우, 무방비 시간대는 다음과 같은 전개를 보인다.

새로운 위협, 대상 프로그램의 출현
새로운 공격 프로그램의 발견과 연구
새로운 해결책의 개발
패치 또는 공격 프로그램을 잡을 수 있는 업데이트된 서명 패턴의 발표
사용자의 시스템에 패치의 배포와 설치, 또는 바이러스 데이터베이스 업데이트

이러한 전개는 몇 시간에서 며칠까지 이어질 수 있으며, 이동안 네트워크는 이른바 무방비 시간대를 통과하게 된다.^[2] 제로데이 취약점을 이용해 만든 악성코드는 기본적인 방어막인 안티바이러스, 안티악성코드 프로그램은 물론, 기업에 설치된 최신 방화벽으로도 탐지할 수 없어 기업이나 일반 사용자가 탐지할 방법은 사실상 없다. 그래서 개발업체들은 보안 취약점이 발견되면 최대한 빨리 패치를 만들어야 하고, 사용자들은 이를 업데이트 하는 방법밖에 없다. 하지만 패치의 보안 결함도 10%에 달하는데 일반적으로 패치를 할 때, 해당 취약점을 공개한다. 이때 10%의 취약점이 그대로 상존한다는 의미이다. 취약점이 공개된 이후 해당 취약점을 이용한 공격이 5배 증가하는 것은 이런 상황을 기반한다.^[3]

공격 방법[편집]

스피어 피싱(Spear Phishing)

스피어 피싱은 정부 관계자, 유명인, 군인, 기업인 등과 같은 특정인을 대상으로 이들의 개인정보를 캐내기 위한 피싱 공격이다. 일반적으로 공격자들은 제로데이 악성코드를 담은 첨부파일이 담긴 이메일을 공격대상이 관심을 가질만한, 믿을만한 송신인을 가장해 보낸다. 2015년 스피어피싱 공격은 연간 1,305 건으로 집계돼 소수를 겨냥한 표적이 많이 증가했음을 의미한다. 또한 스피어 피싱의 공격대상을 기업 규모별 비율로 살펴보면 대기업이 전체 공격의 35%, 중견기업 22%, 중소기업 43%를 차지하고 있다. 특히 중소기업을 겨냥한 공격은 2010년부터 꾸준히 증가하고 있어 중소기업들도 사이버 공격에서 안전하지 않음을 보여주고 있다.^[3]

대안[편집]

제로데이 보호

제로데이 보호란 제로데이 공격에 대항하여 대상 프로그램을 보호할 수 있는 능력을 말한다. 제로데이 메모리 훼손 취약점을 제한하는 수많은 기술이 존재하며, 그 예로 버퍼 오버플로(buffer overflow)가 있다. 이러한 보호 메커니즘은 애플의 매킨토시(mackintosh) 운영체제, 마이크로소프트 윈도우 비스타(window vista) 등 많은 운영체제에 존재한다. 마이크로소프트 윈도우XP 서버스팩 2에는 포괄적인 메모리 취약점에 대한 약간의 보호 메커니즘이 포함되어 있다.

포트 노킹 및 단일 패킷 권한 데몬

포트 노킹 및 단일 패킷 권한 데몬의 사용은 제로데이 공격에 대항하는 효과적인 보호막을 만들 수 있다. 하지만 이런 기술은 대량의 사용자가 참여하는 환경에는 적절하지 않다.

화이트 리스팅 기술

화이트 리스팅(white listing) 기술은 좋은 것으로 알려진 프로그램 또는 기관의 시스템 접속만을 허가하며, 그로 인해 새롭거나 알려지지 않은 공격 프로그램은 접속이 차단되기 때문에 제로데이 위협을 효과적으로 막을 수 있다. 화이트 리스팅이 제로데이 공격을 막는 좋은 방법이긴 하지만, HIPS나 바이러스 사전의 블랙리스트 같은 다른 보호 기법과 병행되지 않으면, 사용자에게 불편을 줄 수 있다.

제로데이 긴급 반응팀

제로데이 긴급 반응팀은 제로데이 공격을 막는 비 제작자 패치를 배포하기 위해 결성된 소프트웨어 엔지니어들의 집단이다.^[2]

사례[편집]

러시아 병원 사이버 공격

2018년 제로데이 취약점이 러시아 연방 정부의 한 의료 기관을 노린 취약점 공격에 악용되었다고 한다. 특수하게 조작된 문서가 담긴 RAR 아카이브 파일을 통해 취약점 공격 피해 시스템에 전송했다고 밝혔다. 이 문서가 피해 시스템에서 열릴 경우, 해당 의료 기관의 직원들을 위해 만들어진 듯한 설문지가 화면에 나타난다. 하지만 배경에서는 악성 명령이 실행되고 있다. 이는 CVE-2018-15982를 취약점 공격하는 명령이며, 이 과정에서 멀웨어 하나가 시스템에 심어진다. 한편 사이버 공격이 케르치 해협 사태가 발생하고 며칠 지나지 않아 발생한 사건이라 공격의 동기를 조심스럽게 예측해볼 수 있다.^[4]

이탈리아 업체 해킹 팀 해킹 사건

2015년 7월, 이탈리아의 업체 해킹 팀(Hacking Team)에서 400GB에 달하는 회사 기밀 자료가 해커들에 의해 유출되었다. 더욱더 놀라운 점은, 이 자료 내부에 어도비 플래시(Adobe Flash)의 제로데이가 3개나 존재하고 있었고 윈도우의 커널(Kernel) 취약점도 1개 발견되었다. 이는 모두 개념증명(PoC) 수준의 자료들이었으나 관련 지식이 있다면 누구라도 취약점 공격을 바로 쉽게 만들 수 있는 정도이다. 이러한 취약점들을 공표하지 않고 회사 차원에서 기밀 자료 취급을 하였다는 것은 직접 사용을 하였거나 또는 판매를 하였던 것으로 추측되고 있다. 심지어 400GB 나 되는 방대한 데이터를 아직 전부 살펴본 것이 아니기 때문에 현재까지 발견된 것이 다가 아닐 수 있다. 플래시 취약점의 경우도 원래 2개로 발표했으나 나중에 하나가 더 추가되었다.^[5]

어도비 플래시 제로데이 취약점 악용 공격

2018년 북한 추정 해커가 플래시 제로데이 취약점(CVE-2018-4878)을 악용하는 사례가 발생했다. 한국인터넷진흥원은 "어도비 플래시 플레이어 제로데이 취약점을 악용해 악성코드가 유포되고 있다"라며 이용자들의 각별한 주의를 당부했다. 공격에 발견된 취약점은 원격코드 실행으로 이어질 수 있는 Use-after-free 취약점으로 소프트웨어 구현 시 동적 혹은 정적으로 할당된 메모리를 해제했음에도 이를 계속 사용해 발생하는 취약점으로 알려졌다. 어도비는 보안 업데이트를 배포하고 보안업체도 보안 업데이트를 적용하며 이용자들의 패치 적용을 당부했다.^[6]

**영향을 받는 제품 및 버전**
제품	동작 환경	영햘을 받는 버전
Adobe Flash Player Desktop Runtime	윈도우, 맥, 리눅스	29.0.0.137 및 이전 버전
Adobe Flash Player for Google Chrome	윈도우, 맥, 리눅스, Chrome OS	28.0.0.137 및 이전 버전
Adobe Flash Player for Microsoft Edge and Internet Explorer	Windows 10, 8.1	28.0.0.137 및 이전 버전

각주[편집]

↑ 〈제로 데이 공격 (zero day attack , -攻擊)〉《네이버 지식백과》
↑ ^2.0 ^2.1 위키백과 - https://ko.wikipedia.org/wiki/%EC%A0%9C%EB%A1%9C_%EB%8D%B0%EC%9D%B4_%EA%B3%B5%EA%B2%A9
↑ ^3.0 ^3.1 이대영 기자, 〈ITWorld 용어풀이 | 제로데이 공격〉, 《아이티월드》, 2016-04-14
↑ 문가용 기자, 〈러시아 병원에서 발생한 제로데이 공격, 우크라이나의 보복?〉, 《보안뉴스》, 2018-12-06
↑ 나무위키 - https://namu.wiki/w/%EC%A0%9C%EB%A1%9C%20%EB%8D%B0%EC%9D%B4%20%EA%B3%B5%EA%B2%A9
↑ 김경애 기자 〈플래시 제로데이 취약점, 패치 나올 때까지 제거해야〉, 《시큐리티월드》, 2018-02-02

참고자료[편집]

〈제로 데이 공격〉, 《위키백과》
〈제로 데이 공격〉, 《나무위키》
이대영 기자, 〈ITWorld 용어풀이 | 제로데이 공격〉, 《아이티월드》, 2016-04-14
문가용 기자, 〈러시아 병원에서 발생한 제로데이 공격, 우크라이나의 보복?〉, 《보안뉴스》, 2018-12-06
김경애 기자 〈플래시 제로데이 취약점, 패치 나올 때까지 제거해야〉, 《시큐리티월드》, 2018-02-02

같이보기[편집]

이 제로데이 공격 문서는 보안에 관한 글로서 검토가 필요합니다. 위키 문서는 누구든지 자유롭게 편집할 수 있습니다. [편집]을 눌러 문서 내용을 검토·수정해 주세요.

개발 : 프로그래밍, 소프트웨어, 데이터, 솔루션, 보안 ^□^■^⊕, 하드웨어, 컴퓨터, 사무자동화, 인터넷, 모바일, 사물인터넷, 게임, 메타버스, 디자인

보안	CVE • CWE • 관리자권한 • 관리적 보안 • 권한 • 권한관리 • 금융 분산원장기술 보안규범 • 기밀 • 기밀성 • 기술적 보안 • 누설 • 누출 • 누출금지정보 • 니모닉 • 데이터베이스 암호화 • 디지털 워터마킹 • 레인보우 테이블 • 루트킷 • 무결성 • 물리적 보안 • 백신 프로그램 • 버그 바운티 • 보안 • 봇 • 봇넷 • 블랙리스팅 • 블랙박스 • 블록체인 보안 • 비밀 • 비회원 권한 • 사고 • 사용자권한 • 사회공학 • 생체인증 • 시큐어코딩 • 신뢰실행환경 • 암호 • 암호키 • 예방 • 유출 • 이중인증(2FA) • 인증 • 일회용 비밀번호(OTP) • 잠금장치(시건장치) • 접근 • 접근권한 • 접근제어 • 접근차단 • 정보보호관리체계 • 침입방지시스템 • 침입탐지시스템 • 컴퓨터 바이러스 • 킬 스위치 • 통합위협관리(UTM) • 패치 • 페이로드 • 핀(PIN) • 해킹사고 • 화이트박스 • 회원권한 • 효율성

취약점 공격	51% 공격 • OWASP • 그라인딩 공격 • 네트워크 공격 • 누킹 • 디도스 • 디엔에스 스푸핑(DNS스푸핑) • 랜섬웨어 • 레베톤 • 레이스 공격 • 롱레인지 공격 • 리플레이 공격 • 리플레이 프로텍션 • 멀웨어(악성코드) • 모의해킹 • 무차별 대입 공격 • 미라이 봇넷 • 백도어 • 버그 • 버퍼 오버플로 • 벡터76 공격 • 부채널 공격 • 블랙해커 • 블록보류 공격 • 블록체인 해킹 • 사이트 간 스크립팅(XSS) • 사이트 간 요청 위조(CSRF) • 사전공격 • 셸쇼크 • 스누핑 • 스니퍼 • 스니핑 • 스미싱 • 스파이웨어 • 스푸핑 • 시빌공격 • 아이피 스푸핑(IP스푸핑) • 암호화폐 거래소 해킹 • 암호화폐 해킹 • 애드웨어 • 에스큐엘 인젝션(SQL인젝션) • 에이알피 스푸핑(ARP스푸핑) • 원격파일삽입 • 웜 • 웹셸 • 이클립스 공격 • 인젝션 • 제로데이 공격 • 중간자 공격 • 지능형 지속 공격(APT) • 취약점 • 침해사고 • 크래킹 • 크립토락커 • 크립토재킹 • 키로깅 • 트로이목마 • 패스워드 크래킹 • 페니스펜드 • 포맷스트링 공격 • 피니 공격 • 피싱 • 해커 • 해커원 • 해킹 • 혹스 • 화이트해커

개인정보보호	가명 • 개인정보 • 개인정보보호 • 개인정보보호법 • 성명 • 실명 • 유럽연합 일반개인정보보호법(GDPR) • 익명

양자보안	광자분리공격(PNS) • 복제 불가능성 원리 • 양자보안 • 측정 후 붕괴

보안 솔루션	V1 • V3 • ZAP • 내PC지키미 • 노턴안티바이러스 • 디아모 • 랩스플러스 • 레드마인 • 레드캐슬 • 맥아피 • 버그질라 • 빅룩 • 빅룩와스 • 빅룩퓨저 • 샤크라 • 소나큐브 • 스패로우 • 스팸스나이퍼 • 시큐브토스 • 시큐어디비 • 아베스트 • 야스카 • 엔스토커 • 엔프로텍트 • 와플즈 • 웹필터 • 제큐어디비 • 제큐어웹 • 지라 • 카스퍼스키 • 파인드벅스 • 피엠디(PMD)

위키 : 자동차, 교통, 지역, 산업, 기업, 단체, 업무, 쇼핑, 블록체인, 암호화폐, 인공지능, 개발, 인물, 행사, 일반

[1] 〈제로 데이 공격 (zero day attack , -攻擊)〉《네이버 지식백과》

[.EC.9C.84.ED.82.A4-2] 2.0 ^2.1 위키백과 - https://ko.wikipedia.org/wiki/%EC%A0%9C%EB%A1%9C_%EB%8D%B0%EC%9D%B4_%EA%B3%B5%EA%B2%A9

[.EA.B8.B0.EC.82.AC-3] 3.0 ^3.1 이대영 기자, 〈ITWorld 용어풀이 | 제로데이 공격〉, 《아이티월드》, 2016-04-14

[4] 문가용 기자, 〈러시아 병원에서 발생한 제로데이 공격, 우크라이나의 보복?〉, 《보안뉴스》, 2018-12-06

[5] 나무위키 - https://namu.wiki/w/%EC%A0%9C%EB%A1%9C%20%EB%8D%B0%EC%9D%B4%20%EA%B3%B5%EA%B2%A9

[6] 김경애 기자 〈플래시 제로데이 취약점, 패치 나올 때까지 제거해야〉, 《시큐리티월드》, 2018-02-02

[1]

[2]

[3]

[4]

[5]

[6]

위키

이름공간

변수

보기

더 보기

검색