무관용 원칙: 2021년, 제로데이가 그 어느 때보다 더 많이 악용되다

James Sadowski
Apr 21, 2022
6 mins read

Mandiant Threat Intelligence는 2021년 말까지 현장에서 악용된 80건의 제로데이를 식별했으며, 이는 이전 2019년 기록의 두 배가 넘습니다. 정부 후원 그룹은 여전히 제로데이 취약점을 악용하는 주요 공격자이며, 중국 그룹이 주도하고 있습니다. 금전적 동기로 제로데이 익스플로잇을 배포하는 공격자(특히 랜섬웨어 그룹)의 비율도 크게 증가했으며, 2021년에 식별된 제로데이 악용 공격자 3명 중 거의 1명은 재정적 동기가 있었습니다. 공격자는 Microsoft, Apple 및 Google 제품에서 가장 자주 제로데이를 악용했으며, 이는 이러한 벤더들의 인기를 반영한 것으로 보입니다. 2021년에 제로데이 악용이 크게 증가하고 이를 사용하는 공격자가 다양해짐에 따라 거의 모든 산업 부문 및 지역의 조직, 특히 이러한 인기 있는 시스템에 의존하는 조직의 리스크 포트폴리오가 확대되고 있습니다.

개요

Mandiant는 2012년부터 2021년까지 현장에서 악용된 것으로 식별된 200개 이상의 제로데이 취약점을 분석했습니다. Mandiant는 제로데이를 패치가 공개적으로 제공되기 전에 현장에서 악용된 취약점으로 간주합니다. 우리는 Mandiant의 독창적인 연구, 침해 조사 결과, 오픈 소스에서 식별된 제로데이 악용을 조사했으며, 명명된 그룹이 악용한 제로데이에 초점을 맞췄습니다. 이 분석에 사용된 이러한 출처는 신뢰할 수 있다고 믿지만 일부 출처의 조사 결과는 확인할 수 없습니다. 디지털 포렌식 조사를 통해 과거 침해 사고가 지속적으로 발견되고 있으므로 이 연구는 역동적으로 유지되고 향후 보완될 것으로 기대합니다.

2021년, 제로데이 악용이 사상 최고치에 도달하다

그림 1에 나오는 것처럼 제로데이 악용은 2012년부터 2021년까지 증가했으며, Mandiant Threat Intelligence는 연간 악용되는 제로데이의 수가 계속 증가할 것으로 예상하고 있습니다. 2021년 말까지 우리는 현장에서 악용된 80건의 제로데이를 식별했으며, 이는 이전 2019년 기록인 32건의 두 배가 넘습니다.

우리는 여러 요인들이 악용되는 제로데이 수의 증가에 기여한다고 제안합니다. 예를 들어, 클라우드 호스팅, 모바일 및 사물 인터넷(IoT) 기술로 지속적으로 이동함에 따라 인터넷에 연결된 시스템 및 장치의 규모와 복잡성이 증가하고 있습니다. 간단히 말해, 소프트웨어가 많아지면 소프트웨어 결함도 많아집니다. 익스플로잇 브로커 시장의 확장도 이러한 증가의 한 원인이 될 수 있으며, 위협 그룹은 물론 민간 기업과 연구원 모두가 제로데이 연구와 개발에 더 많은 리소스를 투입하고 있습니다. 마지막으로, 향상된 방어 기능을 통해 방어자는 이전보다 더 많은 제로데이 악용을 탐지할 수 있으며, 더 많은 조직이 다른 벡터를 통한 침해를 줄이기 위해 보안 프로토콜을 강화하고 있습니다.

Confirmed exploitation of zero-day vulnerabilities in the wild 2012–2021
그림 1: 2012~2021년 현장에서 확인된 제로데이 취약점 악용 현황

정부 후원 그룹이 여전히 지배적이지만 재정적으로 동기가 부여된 제로데이 공격도 증가 중

제로데이 익스플로잇을 배포하는 재정적 동기가 있는 공격자의 비율이 증가하고 있지만, 정부 후원 스파이 그룹은 여전히 제로데이 취약점을 악용하는 주요 공격자입니다(그림 2). 2014년부터 2018년까지는 재정적으로 동기가 부여된 공격자 중 소수만이 제로데이 취약점을 악용한 것으로 관찰되었지만, 2021년에는 제로데이를 악용한 것으로 식별된 공격자의 약 1/3이 재정적 동기가 있었습니다. 또한 제로데이를 악용하는 새로운 위협 클러스터를 발견했지만 동기를 평가하기에는 이러한 클러스터 중 일부에 대한 정보가 아직 충분하지 않습니다.

Proportion of identified zero-days exploited by motivations from 2012-02021
그림 2: 2021년부터 확인된 동기별 제로데이 악용 비율

중국 그룹, 지속적으로 정부 제로데이 공격을 주도하다

이전 분석에서 Mandiant는 2021년 중국 사이버 스파이 그룹이 악용한 것으로 의심되는 가장 많은 규모의 제로데이를 식별했으며, 2021년에는 최소한 러시아와 북한의 스파이 공격자가 적극적으로 제로데이를 악용했습니다(그림 3). 2012년부터 2021년까지 중국은 다른 어떤 국가보다 더 많은 제로데이를 악용했습니다. 그러나 우리는 특히 지난 몇 년 동안 제로데이를 악용할 가능성이 있는 국가의 수가 증가하는 것을 목격했으며, 2012년 이후 최소 10개 국가에서 제로데이를 악용했을 가능성이 있습니다.

  • 2021년 1월부터 3월까지 Mandiant는 총칭하여 ProxyLogon 취약점으로 알려진 4개의 제로데이 Exchange 서버 취약점을 악용하는 여러 중국 스파이 활동 클러스터를 목격했습니다. Microsoft는 이 캠페인과 관련된 활동을 ‘하프늄(Hafnium)’이라 명명했습니다.
    • 관련된 위협 클러스터 중 일부는 대상을 신중하게 선택한 것으로 나타났지만, 일부 클러스터는 거의 모든 업종과 지역에서 수만 대의 서버를 손상시켰습니다.
    • 2020년과 2021년 중국의 사이버 스파이 활동은 더 이상 정부의 공식 성명과 피해 국가의 기소가 베이징을 막지 못할 것임을 시사합니다. 미국 법무부(DOJ)가 기소했던 이전에 활동 정지 상태였던 사이버 스파이 그룹들이 활동을 재개한 데 이어 중국 스파이 그룹도 갈수록 대담해지고 있습니다.
  • 2016년과 2017년 이후 급격한 변화로, 우리는 러시아 GRU가 후원하는 APT28이 2021년 말에 Microsoft Excel에서 제로데이를 악용했을 것으로 추측할 때까지 어떠한 제로데이도 식별하지 못했습니다. 그러나 오픈 소스 보고에 따르면 러시아의 TEMP.Isotope가 Sophos 방화벽 제품에서 중요 인프라 네트워크를 제로데이의 표적으로 삼았을 가능성이 있는 활동을 포함하여 2020년과 2021년에 다른 러시아 정부 후원 공격자가 여러 제로데이를 악용한 것으로 나타났습니다.
Actors exploiting zero-days in 2021 by country
그림 3: 2021년 국가별 제로데이 악용 공격자

타사 벤더가 주요 익스플로잇 브로커로 성장하다

Mandiant는 2017년 말부터 공격적인 사이버 툴 및 서비스를 제공하는 민간 기업의 고객으로 알려지거나 의심되는 그룹이 활용하는 제로데이의 수가 크게 증가한 것에 주목했습니다.

  • 우리는 2021년에 멀웨어 벤더의 고객이 적극적으로 악용한 최소 6개의 제로데이 취약점을 파악했으며, 여기에는 두 곳의 개별 벤더가 개발한 도구에서 악용된 것으로 보고된 취약점 1개가 포함됩니다. 2021년에는 이스라엘 상업 벤더가 최소 5개의 제로데이 취약점을 악용한 것으로 보고되었습니다.

 

랜섬웨어 작전과 연계된 제로데이 공격

2015년 이후, 우리는 범죄 익스플로잇 키트에 포함된 제로데이 취약점이 급격히 감소하는 것을 목격했는데, 아마도 저명한 익스플로잇 개발자의 체포를 비롯한 몇 가지 요인 때문일 것입니다. 그러나 지하 범죄 조직이 랜섬웨어 작업을 중심으로 뭉치면서 2019년 이후 제로데이 취약점을 악용하는 랜섬웨어 감염이 급증하는 것을 관찰했습니다. 이러한 추세는 이러한 정교한 랜섬웨어 그룹이 이전에 익스플로잇 키트용으로 개발되었을 수 있는 제로데이를 악용하는 데 필요한 기술을 모집하거나 구매하기 시작했음을 나타내는 것일 수 있습니다.

Mandiant는 랜섬웨어가 양과 영향 모두에서 상당히 성장했음을 확인했습니다. 상당한 금전적 이익과 함께 랜섬웨어를 지원하는 점점 더 세분화되고 아웃소싱되고 전문화된 생태계는 공격자에게 제로데이 익스플로잇 개발 및/또는 획득을 위한 두 가지 실행 가능한 경로, 즉 재정적 리소스와 공격자 정교함을 제공했습니다.

 

  • 우리는 2021년에 개별 공격자가 개별 VPN 어플라이언스의 결함을 악용하여 피해자 네트워크에 대한 액세스 권한을 획득한 후 랜섬웨어를 배포한 최소 2건의 사례를 관찰했습니다.

 

인기있는 벤더는 제로데이 공격의 인기 있는 타겟이다

2021년에 12개 개별 벤더의 제로데이를 분석한 결과, Microsoft, Apple 및 Google 제품의 취약점이 전체 제로데이 취약점의 75%를 차지한 것으로 나타났습니다(그림 4). 이는 전 세계 기업과 사용자 사이에서 이러한 제품의 인기가 높았기 때문일 수 있습니다. 이러한 주요 제공업체의 제품들이 널리 사용되는 것을 감안하면 악용으로 인한 위협은 여전히 상당한 수준입니다. 또한 타겟으로 삼는 벤더의 다양성이 증가하고 있어 패치 우선순위가 복잡해지고 한 두 벤더에만 더 이상 집중할 수 없으므로 조직은 더 어려운 상황에 놓이게 될 수 있습니다.

2012년부터 2017년까지 Adobe는 두 번째로 많이 악용된 벤더였으며, 전체 제로데이 중 거의 20%가 Adobe Flash만 악용했습니다. 그 이후로 Adobe 악용이 크게 감소했는데, 이는 Flash의 단종으로 인한 것임이 거의 확실합니다.

Proportion of identified zero-days exploited by vendor in 2021
그림 4: 2021년 확인된 벤더별 제로데이 악용 비율

Outlook

우리는 익스플로잇을 판매하는 벤더와 맞춤형 익스플로잇을 개발할 수 있는 정교한 랜섬웨어 작전의 확산 등으로 인해 정부가 후원하고 재정적으로 동기를 부여받은 다양한 공격자가 제로데이 익스플로잇을 기반으로 하는 중요한 캠페인에 점점 더 쉽게 접근할 수 있게 될 것으로 판단합니다. 특히 2021년에 제로데이 취약점 악용이 크게 증가하면서 거의 모든 산업 부문 및 지역의 조직의 리스크 포트폴리오가 확장되었습니다. 악용은 2021년에 최고조에 달했지만, 하반기에 새로운 제로데이 악용 속도가 둔화된 징후가 있습니다. 그러나 제로데이 악용은 여전히 이전에 비해 높은 비율로 발생하고 있습니다.

패치 우선순위 지정의 의미

많은 조직에서 패치 우선순위를 효과적으로 지정하여 악용 위험을 최소화하기 위해 계속해서 고심하고 있습니다. 우리는 조직이 환경에 가장 큰 영향을 미칠 가능성이 있는 위협 유형과 가장 큰 피해를 줄 수 있는 위협의 우선순위를 지정하는 방어 전략을 구축하는 것이 중요하다고 생각합니다. 조직이 그들과 가장 관련이 있는 다양한 공격자, 멀웨어 패밀리, 캠페인 및 전술에 대한 명확한 그림을 가지고 있으면 이러한 위협이 취약성의 적극적인 악용과 연결될 때 더 세밀하게 우선순위를 지정할 수 있습니다. 귀사 또는 유사한 조직에 대해 현장에서 적극적으로 악용되고 있는 위험도가 낮은 취약성이 적극적으로 악용되지 않는 높은 등급의 취약성보다 귀사에 잠재적으로 더 큰 영향을 미칠 수 있습니다. 새로운 CISA 지침은 적극적으로 악용되는 것으로 알려진 취약점에 중점을 둡니다. 우리는 이것이 보안 태세를 강화하고 패치 관리 절차를 강화하는 데 도움이 될 것이라고 믿습니다.

제로데이 악용이 확대되고 있는 동안 악성 공격자는 종종 알려진 취약점공개된 직후에도 계속해서 악용합니다. 따라서 과거의 표적 대상에서 얻은 교훈과 공개와 악용 간의 일반적인 기간에 대한 이해를 계속해서 통합함으로써 보안을 개선할 수 있습니다. 또한 조직이 표적 대상이 되기 전에 완화 조치를 적용할 수 없는 경우에도 이러한 시스템에 긴급히 패치가 필요한지 여부에 대한 추가적인 통찰력을 제공할 수 있습니다. 패치 적용의 지연은 패치가 적용되지 않거나 완화 조치가 이루어지지 않은 소프트웨어를 지원하는 조직이 영향을 받을 리스크를 가중시킬 뿐입니다.