제로 데이 공격(어택) / 제로 데이 위협
Zero-day Attack / Zero-day Threat
1 개요
특정 소프트웨어의 아직까지 공표되지 않은, 혹은 공표되었지만 아직까지 패치되지 않은 취약점을 이용한 해킹[1]의 통칭이다.
풀어 말하자면 "Zero-day"는 해당 취약점이 공표 혹은 발견된 날을 뜻하므로, 개발사는 공격이 행해진 시점에서 이 취약점을 해결할 시간을 채 하루도 가지지 못했음을 뜻한다. 물론 1000분의 1초도 못 가진 경우도 포함.
2 위험성
제로 데이 공격은 그 정의에 따라 해당 취약점에 대한 대책이 아직까지 없기 때문에 공격을 막을 수가 없어서 어떤 컴퓨터든 무방비로 노출될 수밖에 없다.
Microsoft Windows의 예를 들면, 취약점의 발견/제보 그리고 공표 후 그 취약점에 대한 보안패치 개발까지 약 6시간도 채 안 걸릴 때도 있지만, 보통은 그 이상이 걸린다. 그리고 그렇게 올라온 패치를 받아서 설치하는 것도 시간이 걸리므로, 생각보다 공격이 행해질 수 있는 기간은 길다.
그리고 아예 발견이나 제보조차 되지 않은 취약점이라면 얄짤없다. 그 취약점을 이용하는 공격 매개체(바이러스, 웜 등의 악성코드)가 발견되지 않는 이상 컴퓨터는 해당 공격에 속수무책.
이런 특징으로 인해 제로 데이 취약점은, 특히 아직까지 공표되지 않은 취약점은 블랙햇 해커들에겐 그야말로 꿈의 병기이며, 찾는 데도 혈안이지만 또 함부로 쓰지도 않는다. 대개는.
그리고,이런 공격의 위험을 최소화하기 위해 안티 익스플로잇이라는 프로그램이 있다. 이들은 취약점 기반 공격을 최대한 막는 역할을 한다.
제로 데이 취약점은 그 악용 가능성이 무궁무진 하기에 블랙해커들 사이의 암시장(일명 블랙 마켓)에서 고가의 가격으로 팔리기도 한다.
3 실제 사례
사람들이 많이 쓰는 소프트웨어일수록, 생각보다 의외로 많은 공격이 제로 데이 공격으로 이뤄진다. 대체로 제 3자 입장의 업체로부터 공개적으로 발표된 따끈따끈한 취약점은 화이트햇 블랙햇 가리지 않고 모두에게 공개되기 때문이기도 하고, 또 그 소프트웨어가 해커들에게 유독 관심이 높은 경우, 그 많은 해커들이 (공표하지 않고 악용할) 새로운 취약점을 찾기에 혈안이 되어있기 때문. 이 경우, 제로 데이 취약점을 저들끼리도 함부로 공유하지 않는다고 한다. 그만큼 귀하고 아껴써야 하니까.사실상 해커의 밥줄이니까 하지만 암시장에서 거래되는 경우[2]도 당연히 있다. 돈만 주면 뭐든 다 되는 세상
2010년 6월에 발견된 Stuxnet 웜은 좀 많이 예외인데, 이 웜은[3] Windows에 대한 제로 데이 공격을 (현재까지 밝혀진 바론) 무려 5개나 가지고 있다. 그나마도 원래는 4개인 줄 알았는데, Flame 웜[4]과 대조하는 과정에서 취약점을 하나 더 발견하였다. 웜을 최초로 발견하고 나서 약 2년 후에. 흠좀무.
취약점을 찾고나니 역사가 깊은 경우도 물론 존재한다. 인터넷 익스플로러의 경우, 2008년 12월에 당시로서는 최신버전인 IE 7의 취약점을 발견했는데, 이게 확인해보니 당시 지원하던 모든 버전의 IE에 적용되는 문제였다.(해당 취약점 패치. IE가 깔리지 않는 최소설치 옵션을 선택한 2008 서버군을 제외하면 전부 해당되는 걸 볼 수 있다.)[5] 그저 안습.
2014년 4월 27일에도 인터넷 익스플로러 취약점이 나왔는데 이건 6~11까지 싸그리 해당이다
([1] 이것도 안깔리는 서버군빼고 모두 해당이다)
그리고 윈도우 XP는 망했어요
2015년 7월, 이탈리아의 업체 해킹 팀(Hacking Team) 에서 400GB 에 달하는 회사 기밀 자료가 해커들에 의해 유출되었다. 더욱 놀라운 점은, 이 자료 내부에 Adobe Flash 의 제로데이가 3개나 존재하고 있었고 Windows 의 Kernel 취약점도 1개 발견되었다. 이는 모두 PoC(Proof-of-Concept) 수준의 자료들이었으나 관련 지식이 있다면 누구라도 익스플로잇을 바로 쉽게 만들 수 있는 정도이다. 이러한 취약점들을 공표하지 않고 회사 차원에서 기밀 자료 취급을 하였다는 것은 직접 사용을 하였거나 또는 판매를 하였던 것으로 추측되고 있다. 심지어 400GB 나 되는 방대한 데이터를 아직 전부 살펴본 것이 아니기 때문에 현재까지 발견된 것이 다가 아닐 수 있다. 플래시 취약점의 경우도 원래 2개로 발표했으나 나중에 하나가 더 추가되었다.
의문인 것은, 이 자료가 공개되고 나서 몇 시간도 되지 않아서 몇몇 악성 Exploit Kit 에서 해당 플래시 취약점 중 가장 먼저 발견된 CVE-2015-5119 를 이용하는 새로운 버전이 벌써 인터넷에 돌아다니고 있었다는 점이다. 아무리 빨라도 PoC 에서 실제 Exploit Kit 에 사용하려면 최소 1~2일은 걸린다는 점에서 무언가 약속이라도 한 듯한 이 타이밍은 조금 이상할 수 밖에 없다. 또한 취약점이 공개되기 이전부터 이 취약점을 이용한 악성코드가 존재하고 있었다는 것도 이후 발표로 알려졌고 이는 해킹 팀의 자료를 유출한 해커가 이전에 이미 블랙 마켓에 판매를 하였거나, 또는 해킹 팀 회사 차원에서 직접 판매했다고밖에 볼 수 없는 부분이다.