구글 위협 인텔리전스 그룹(Google Threat Intelligence Group, GTIG)이 2024년 한 해 동안 연구진이 조사한 다양한 제로데이(Zero-day) 공격에 대해 종합적인 분석을 담은 ‘2024 제로데이 보고서’를 발표했다.
구글 위협 인텔리전스 그룹은 이번 보고서에서 2024년 실제 공격에 이용된 75건의 제로데이 취약점을 추적했다고 밝혔다. 이는 2023년(98건) 대비 감소했지만 2022년(63건)보다 높은 수치로, 제로데이 공격이 여전히 전반적으로 증가하는 추세 속에서 예상 가능한 수준의 일시적인 변화로 간주된다.
제로데이 공격을 방지하기 위한 기업들의 보안 개선이 지속됨에 따라, 여러 카테고리에서 제로데이 공격 횟수가 줄고 과거에 특히 공격받던 표적에 대한 공격 또한 감소했다. 동시에 상업용 감시 소프트웨어 업체(CSV)*들이 보안 운영 방식을 강화하면서, 공격 주체에 대한 추적 및 탐지 또한 감소했을 것으로 보인다.
* 상업용 감시 소프트웨어 업체(CSV): 주로 정부 및 정보 기관 등에 감시 기술과 도구를 판매하는 기업으로, 스파이웨어 및 감시 소프트웨어 등을 개발한다. 과거에는 국가 배후 해킹 그룹만이 제로데이 취약점을 개발하고 사용했지만, 이제는 CSV들이 이를 상업적으로 판매하면서 다른 공격 주체들도 비교적 쉽게 제로데이 공격 능력을 확보할 수 있게 됐다.
구글 위협 인텔리전스 그룹 연구진은 지난해 제로데이 취약점을 크게 두 가지 카테고리로 분류했다.
1. 엔드 유저(end-user) 플랫폼 및 제품: 모바일 디바이스, 운영 체제, 브라우저, 기타 애플리케이션 등
2. 엔터프라이즈 기술(enterprise-focused technologies): 보안, 네트워크 소프트웨어 및 기기 등
전체적인 제로데이 공격 관점에서는 엔드 유저 기술 및 이용자에 대한 공격 비중이 여전히 더 높지만, 엔터프라이즈 기술과 제품을 대상으로 하는 제로데이 공격이 계속해서 증가하고 있다. 이러한 추세는 더 광범위하고 다양한 기업들이 사전 예방적 보안 조치를 강화해야 할 필요성을 시사한다.
이번 보고서의 주요 조사 결과는 다음과 같다.
· 꾸준히 증가하는 제로데이 공격: 2024년 악용된 75건의 제로데이 취약점은 지난 4년간 나타난 패턴에 부합한다. 연도별 수치 변동에도 불구하고 평균 추세선은 제로데이 공격 비율이 느리지만 꾸준하게 증가하고 있음을 나타낸다.
· 엔터프라이즈 기술을 겨냥한 공격 확대: 엔터프라이즈 제품을 겨냥한 제로데이 취약점은 2023년 37%에서 2024년 44%로 증가했다.
- 엔터프라이즈 기술을 노린 제로데이 공격의 60% 이상이 보안 및 네트워크 취약점과 관련돼 있으며, 표적이 되는 제품의 다양성 또한 지속적으로 확대되고 있다.
- 지난해는 이반티 클라우드 서비스 어플라이언스, 팔로알토 네트워크 PAN-OS, 시스코 어댑티브 시큐리티 어플라이언스, 이반티 커넥트 시큐어 VPN 등이 주로 제로데이 공격에 악용된 것으로 밝혀졌다.
- 엔터프라이즈 제품에 대한 공격은 엔드 유저 기술에 비해 광범위한 시스템 및 네트워크를 더 효과적이고 효율적으로 침해할 수 있기 때문에, 공격자들의 집중도가 계속 높아질 것으로 예상된다.
· 보안의 판도를 바꾸는 노력: 제로데이 공격을 방어하기 위한 기업들의 보안 투자는 위협 공격자들에게 분명한 영향을 미치고 있으며, 브라우저 및 모바일 운영 체제 등 과거에 특히 공격받던 일부 표적에 대한 제로데이 공격은 눈에 띄게 감소하고 있다.
· 여전히 제로데이 공격을 주도하는 사이버 스파이 공격자들: 국가 지원을 받는 공격자 그룹과 상업용 감시 소프트웨어 업체(CSV) 고객 중 사이버 스파이 활동을 수행한 공격자가 2024년 전체 취약점의 50% 이상을 차지했다.
- 정부 지원을 받는 공격자들이 제로데이 공격의 주범으로 활동을 지속하고 있는 상황에서, CSV 또한 제로데이 공격의 상당 부분을 차지하는 것으로 밝혀졌다.
- 중국 배후 그룹(PRC)은 5개의 제로데이 취약점을 악용했으며, CSV 고객은 8개의 제로데이 취약점을 악용하며 제로데이 공격에서 주도적인 역할을 이어갔다.
- 사상 처음으로 북한 공격자들이 중국 배후 그룹과 동일한 수준의 제로데이 공격(5건)을 수행한 것으로 파악됐으며, 이들은 스파이 활동과 금전적 목적의 작전을 병행한 것으로 나타났다.
- 북한 해킹 그룹은 여러 그룹 간 공격 대상이 중복되거나 서로 협력하고 전술과 도구를 공유하며, 정보 수집을 위한 스파이 활동과 정권 자금 조달 목표를 동시에 추구하는 특징을 갖고 있다. 지난 한 해 동안 이들이 제로데이 공격에 집중한 사실은 앞으로도 북한 배후 그룹의 제로데이 공격에 대한 관심과 악용이 늘어날 가능성을 시사한다.
케이시 셰리어(Casey Charrier) 구글 위협 인텔리전스 그룹 선임 애널리스트(Senior Analyst)는 “제로데이 공격은 천천히, 하지만 꾸준하게 증가하고 있다. 그럼에도 불구하고 제로데이 공격을 막기 위한 기업들의 노력이 성과를 거두기 시작했다. 특히 대기업에서 많은 노력과 자원을 투자한 결과, 과거에 주로 공격받던 제품에 대한 제로데이 공격 사례가 감소하는 것을 확인할 수 있었다”고 설명하며 “제로데이 공격은 이제 엔터프라이즈 제품을 겨냥하는 방향으로 진화하고 있기 때문에 더욱 다양하고 광범위한 업체들이 선제적인 보안 조치를 강화해야 한다. 제로데이 공격의 결과는 궁극적으로 공격자의 목표와 추구에 대응하는 기업의 의사결정과 역량에 의해 좌우될 것”이라고 말했다.
이번 발표에 대한 자세한 내용은 블로그를 통해 확인할 수 있다.
