파이어아이 "제로데이 공격, 방어기술보다 성장 빠르다"
파이어아이 "제로데이 공격, 방어기술보다 성장 빠르다"
  • 정성훈 기자
  • 승인 2020.04.08 10:18
  • 댓글 0
이 기사를 공유합니다

2019년 발견된 제로데이 공격수, 지난 3년 공격 합친 수보다 많아

인텔리전스 기반 보안 솔루션을 제공하는 파이어아이가 공식 블로그를 통해 ‘취약점 관리를 위한 인텔리전스 리포트’를 8일 발표했다.

파이어아이 맨디언트 위협 인텔리전스(Mandiant Threat Intelligence) 팀에 따르면 제로데이 공격은 2019년 크게 증가했다. 지난 한 해 발견된 제로데이 공격수가 지난 3년간 일어난 공격을 모두 더한 수를 넘어섰을 정도다. 또 제로데이 취약점을 이용하는 공격 그룹의 유형도 이전보다 확대됐다.

구매한 사이버 공격 도구와 서비스를 이용해 제로데이 취약점을 노리고 공격한 사례는 2017년 말부터 크게 증가했다. 지역적 측면에서는 중동지역을 표적으로 한 제로데이 공격 사례가 증가했으며 해당 지역과 연관성이 있는 공격그룹에 의한 것으로 관찰됐다.

국가별 제로데이 취약점 공격 조사 결과 (제공=파이어아이)
국가별 제로데이 취약점 공격 조사 결과 (제공=파이어아이)

중동 지역의 주요 제로데이 공격 사례를 보면 스텔스팔콘(Stealth Falcon)과 프루티아머(FruityArmor)는 주로 중동 지역의 기자 및 사회 운동가를 타깃으로 접근했으며 이스라엘 보안기술 업체 NSO그룹이 판매한 멀웨어를 2016년에 이용했다.

또 2016년부터 2019년까지 그 어느 그룹보다도 활발하게 제로데이 공격 이행했다.

샌드캣(SandCat)이라고 불리는 공격 그룹은 우즈베키스탄 국가 정보기관과 관련된 것으로 추정됐다. 샌드캣에 의한 제로데이 취약점 공격에는 스텔스팔콘의 공격에 이용된 제로데이 취약점과 같은 것으로 보아 해당 공격그룹 또한 NSO그룹과 같은 민간기업의 멀웨어를 구입해 제로데이 공격에 활용한 것으로 분석됐다.

2016년부터 2017년까지 블랙오아시스(BlackOasis)라고 알려진 공격 그룹은 사이버 공격 무기 딜러인 감마그룸(Gamma Group)을 통해 하나 이상의 제로데이 취약점을 활용한 공격 도구를 취득한 것으로 추정됐다.

파이어아이는 또 기타 개별 기업에서 제공하는 툴을 이용한 제로데이 공격 사례도 밝혔다. 이에 따르면 2019년에 알려진 왓츠앱(WhatsApp) 제로데이 취약점(CVE-2019-3568)은 NSO그룹이 개발한 스파이웨어 배포에 악용됐다.

러시아 헬스케어 기관을 표적으로 한 2018년 어도비 플래시 제로데이 취약점(CVE-2018-15982) 공격은 해킹팀(Hacking Team)이라는 이탈리아 기반 스파이웨어를 배포하는 공격 그룹의 소스코드 유출과 관련된 것으로 추정됐으며 2019년 10월 보고된 안드로이드 제로데이 취약점(CVE-2019-2215) 공격에 NSO그룹의 도구가 사용된 것으로 추정됐다.

이와 함께 전세계 4대 공격그룹이 수행한 제로데이 공격을 살펴보면 중국 사이버첩보그룹 APT3는 2016년 감행한 사이버 공격에서 윈도 취약점(CVE-2019-0703)을 이용했고 북한 사이버공격그룹 APT37은 2017년 어도비 플래시 제로데이 취약점(CVE-2018-4878)을 활용한 캠페인을 수행했다. 이 그룹은 취약점이 공개된 후 빠른시간 안에 공격할 수 있는 역량을 입증했다.

또 2017년 12월부터 2018년 1월까지 중국 기반 공격 그룹 다수가 마이크로소프트 오피스 취약점(CVE-2018-0802)을 이용해 유럽, 러시아, 동남아시아, 대만에 위치한 여러 업계를 대상으로 공격 캠페인을 실행했다. 샘플의 최소 절반 이상이 취약성 패치 배포 이전에 진행됐다.

더불어 러시아 그룹 APT28 및 털라(Turla)는 2017년 마이크로소프트 오피스 제품 내 여러 제로데이 취약점을 활용한 공격을 이행했다.

금전탈취를 목적으로 한 공격그룹의 제로데이 공격을 보면 해킹 그룹 핀6(FIN6)은 2019년 2월 금전을 목적으로 윈도 서버 2019 UAF(Use-After-Free) 취약점(CVE-2019-0859)을 악용했다.

파이어아이는 제로데이 취약점 공격을 조사한 결과 민간조직에서 다수의 제로데이 취약점을 활용한 공격 도구를 사용한 공격 비중이 높아지고 있음 확인(제로데이 공격이 점차 상품화 되고 있음)했으며 공격그룹에 이러한 공격도구를 제공하는 민간조직이 증가하고 있는 것으로 파악했다. 이에 제로데이 취약점 악용한 공격 사례 늘어날 것으로 전망하고 있다.

또 제로데이 취약점에 접근하는 공격그룹 증가세는 피해갈 수 없으며 공격그룹이 지닌 역량과 투자 규모로 미루어볼 때 방어기술 발전보다 공격이 빠른 속도로 발전할 것이리고 파이어아이는 강조했다.[파이낸셜신문=정성훈 기자 ]


관련기사

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.

  • 서울특별시 마포구 합정동 386-12 금성빌딩 2층
  • 대표전화 : 02-333-0807
  • 팩스 : 02-333-0817
  • 법인명 : (주)파이낸셜신문
  • 제호 : 파이낸셜신문
  • 주간신문   
  • 등록번호 : 서울 다 08228호
  • 등록일자 : 2009-04-10
  • 간별 : 주간  
  • /  인터넷신문
  •   등록번호 : 서울 아 00825
  • 등록일자 : 2009-03-25
  • 간별 : 인터넷신문
  • 발행 · 편집인 : 박광원
  • 편집국장 : 임권택
  • 전략기획마케팅 국장 : 심용섭
  • 청소년보호책임자 : 임권택
  • Email : news@efnews.co.kr
  • 편집위원 : 신성대
  • 파이낸셜신문 모든 콘텐츠(영상,기사, 사진)는 저작권법의 보호를 받은바, 무단 전재와 복사, 배포 등을 금합니다.
  • Copyright © 2022 파이낸셜신문. All rights reserved.
인터넷신문위원회 ND소프트