인텔리전스 기반 보안 글로벌기업 파이어아이가 ‘취약점 관리를 위한 인텔리전스 리포트’를 발표했다. 파이어아이 맨디언트 위협 인텔리전스(Mandiant Threat Intelligence) 팀에 따르면 제로데이 공격은 2019 년 크게 증가했다. 지난 한 해 발견된 제로데이 공격 수가 지난 3년간 일어난 공격을 모두 더한 수를 넘어섰을 정도다. 또한 제로데이 취약점을 이용하는 공격 그룹의 유형도 이전보다 확대됐다.

일반 기업으로부터 구매한 사이버 공격 도구와 서비스를 이용하여 제로데이 취약점을 노리고 공격한 사례는 2017년 말부터 크게 증가했다. 지역적 측면에서는 중동지역을 표적으로 한 제로데이 공격 사례가 증가했으며, 해당 지역과 연관성이 있는 공격그룹에 의한 것으로 관찰됐다.

국가별 제로데이 취약점 공격조사 결과, 자료제공=파이어아이
국가별 제로데이 취약점 공격조사 결과, 자료제공=파이어아이

중동 지역의 주요 제로데이 공격 사례 중 스텔스팔콘(Stealth Falcon)과 프루티아머(FruityArmor)는 주로 중동 지역의 기자 및 사회 운동가를 공격 대상으로 삼는다. 이스라엘 보안기술 업체 NSO그룹이 판매한 멀웨어를 2016년에 이용해 2016년부터 2019년까지 그 어느 그룹보다도 활발하게 제로데이 공격을 감행하고 있다.

샌드캣(SandCat)은 우즈베키스탄 국가 정보기관과 관련된 것으로 추정된다. 제로데이 취약점 공격에는 스텔스팔콘의 공격에 이용된 제로데이 취약점과 같은 형태로 그룹과 같은 민간 기업의 멀웨어를 구입하여 제로데이 공격에 활용하고 있다.

블랙오아시스(BlackOasis)는 2016년부터 2017년까지 블랙오아시스라고 알려진 공격 그룹은 사이버 공격 무기 딜러인 감마그룸(Gamma Group)을 통해 하나 이상의 제로데이 취약점을 활용한 공격 도구를 취득한 것으로 추정된다.

기타 개별 기업에서 제공하는 툴을 이용한 제로데이 공격 사례는 2019년에 알려진 왓츠앱(WhatsApp) 제로데이 취약점의 경우 NSO 그룹이 개발한 스파이웨어 배포에 악용됐다. 러시아 헬스케어 기관을 표적으로 한 2018년 어도비 플래시 제로데이 취약점 공격은 해킹팀(Hacking Team)이라는 이탈리아 기반 스파이웨어를 배포하는 공격 그룹의 소스코드 유출과 관련된 것으로 추정된다. 2019년 10월 보고된 안드로이드 제로데이 취약점 공격에 NSO 그룹의 도구가 사용된 것으로 추정된다.

전세계 4대 공격그룹이 수행한 제로데이 공격으로 중국 사이버첩보그룹 APT3는 2016 년 감행한 사이버 공격에서 윈도우 취약점을 이용했다. 북한 사이버공격그룹 APT37은 2017년 어도비 플래시 제로데이 취약점을 활용한 캠페인을 수행함. 위 그룹은 취약점이 공개된 후 빠른 시간 안에 공격할 수 있다. 2017 년 12 월부터 2018 년 1 월까지 중국 기반 공격 그룹 다수가 마이크로소프트 오피스 취약점을 이용해 유럽, 러시아, 동남아시아, 대만에 위치한 여러 업계를 대상으로 공격 캠페인을 실행해 샘플의 최소 절반 이상이 취약성 패치 배포 이전에 진행됐다. 러시아 그룹 APT28 및 털라(Turla)는 2017 년 마이크로소프트 오피스 제품 내 여러 제로데이 취약점을 활용한 공격을 진행했다.

금전탈취를 목적으로 한 공격그룹의 제로데이 공격으로 해킹 그룹 핀6(FIN6)은 2019 년 2 월 금전을 목적으로 윈도우 서버 2019 UAF(Use-After-Free) 취약점을 악용했다.

제로데이 취약점 공격에 대해 파이어아이 조사에 따르면 민간조직에서 다수의 제로데이 취약점을 활용한 공격 도구를 사용한 공격 비중이 높아지고 있어 제로데이 공격이 점차 상품화 되고 있다. 공격그룹에 공격도구를 제공하는 민간조직이 증가하고 있어 제로데이 취약점 악용한 공격 사례 늘어날 것으로 전망된다. 제로데이 취약점에 접근하는 공격그룹 증가세는 피해갈 수 없으며, 공격그룹이 지닌 역량과 투자 규모로 미루어볼 때 방어기술 발전보다 공격이 빠른 속도로 발전할 것으로 예상된다.

이향선기자 hslee@nextdaily.co.kr

관련기사

저작권자 © 넥스트데일리 무단전재 및 재배포 금지