공격기술, 방어기술보다 빠르게 진화…제로데이 취약점 제거 노력해야
[데이터넷] 지하시장에서 쉽게 구입할 수 있는 제로데이 취약점 도구를 이용한 공격이 늘어나고 있어 보안 조직의 대비가 필요하다.
파이어아이 ‘취약점 관리를 위한 인텔리전스 리포트’에 따르면 상용화 돼 판매되는 공격도구를 사용하는 민간 해킹그룹이 증가하고 있으며, 이들은 많은 비용을 투자해 공격을 진행하고 있다. 또한 이 같은 공격기술은 방어기술보다 빠르게 발전하고 있어 대응을 어렵게 하고 있다.
이 보고서에서는 지난 한 해 동안 발견된 제로데이 공격이 이 전 3년간 발견된 공격보다 많으며, 공격그룹 유형도 확대되고 있다고 설명했다. 특히 2017년 말 부터 구입한 공격도구를 이용하는 사례가 늘어나고 있으며, 특히 중동지역을 표적으로 한 제로데이 공격 사례가 증가하고 있다.
예를 들어 해킹 그룹 핀6(FIN6)의 경우, 지난해 2월 금전을 목적으로 윈도우 서버 2019 UAF(Use-After-Free) 취약점(CVE-2019-0859) 악용 공격을 진행했으며, 지난해 공개된 왓츠앱(WhatsApp) 제로데이 취약점(CVE-2019-3568)은 NSO 그룹이 개발한 스파이웨어 배포에 악용됐다.
러시아 헬스케어 기관을 표적으로 한 2018년 어도비 플래시 제로데이 취약점(CVE-2018-15982) 공격은 해킹팀(Hacking Team)이라는 이탈리아 기반 스파이웨어를 배포하는 공격 그룹의 소스코드 유출과 관련된 것으로 추정된다.
지난해 10월 보고된 안드로이드 제로데이 취약점(CVE-2019-2215) 공격에 NSO 그룹의 도구가 사용된 것으로 보인다.
특정 국가·정부 후원을 받는 범죄조직의 제로데이 공격도 꾸준히 증가한다. 중동 지역의 기자와 사회 운동가를 타깃으로 접근하는 스텔스팔콘(Stealth Falcon)과 프루티아머(FruityArmor)는 이스라엘 보안기술 업체 NSO그룹이 판매한 멀웨어를 이용했다. 2016년부터 2019년까지 그 어느 그룹보다도 활발하게 제로데이 공격을 진행했다.
샌드캣(SandCat) 공격 그룹은 우즈베키스탄 국가 정보기관과 관련된 것으로 추정되며, 스텔스팔콘의 공격에 이용된 제로데이 취약점과 같은 것을 이용해 NSO 그룹과 같은 민간 기업의 멀웨어를 구입하여 제로데이 공격에 활용한 것으로 보인다.
블랙오아시스(BlackOasis)는 사이버 공격 무기 딜러인 감마그룹(Gamma Group)을 통해 하나 이상의 제로데이 취약점을 활용한 공격 도구를 취득한 것으로 추정한다.
중국 사이버첩보그룹 APT3는 2016 년 감행한 사이버 공격에서 윈도우 취약점(CVE-2019-0703)을 이용했고, 북한 사이버공격그룹 APT37은 2017년 어도비 플래시 제로데이 취약점(CVE-2018-4878)을 활용한 캠페인을 수행함. 위 그룹은 취약점이 공개된 후 빠른 시간 안에 공격할 수 있는 역량을 입증했다.
더불어 2017 년 12 월부터 2018 년 1 월까지 중국 기반 공격 그룹 다수가 마이크로소프트 오피스 취약점(CVE-2018-0802)을 이용해 유럽, 러시아, 동남아시아, 대만에 위치한 여러 업계를 대상으로 공격 캠페인을 실행 – 샘플의 최소 절반 이상이 취약성 패치 배포 이전에 진행됐다.
러시아 그룹 APT28과 털라(Turla)는 2017 년 마이크로소프트 오피스 제품 내 여러 제로데이 취약점을 활용한 공격을 이행했다.
