구글 위협 분석팀인 TAG와 사이버보안 기업 맨디언트(Mandiant)가 엔드유저 플랫폼이나 제품, 보안 소프트웨어나 어플라이언스 등 엔터프라이즈 대상 기술 모두에서 적극적으로 악용된 제로데이 취약점에 대한 분석 보고서를 공개했다.
실제 악용된 제로데이 취약점과 익스플로잇에 대해 구글이 조사한 결과를 정리한 바에 따르면 2023년 탐지된 제로데이 취약점 수는 97건으로 이 가운데 엔터프라이즈 대상 제로데이 취약점은 36건, 엔드유저 대상 제로데이 취약점은 61건이었다. 2023년 탐지된 제로데이 취약점 총수는 2022년보다 50% 이상 증가했지만 2021년 106건보다는 9건 적다.
구글 측은 이 데이터 분석을 통해 제로데이 취약점 대응에 분명한 진전이 있었음을 알 수 있다며 애플, 구글, 마이크로소프트 등 엔드유저 플랫폼의 주목할 만한 투자로 공격자가 악용할 수 있는 제로데이 취약점 종류와 수에 명백한 영향을 미쳤다고 밝혔다. 이에 과거 몇 년간 자주 발견된 취약점은 사실상 존재하지 않게 됐다는 말로 엔드유저 플랫폼 노력을 칭찬했다.
기업을 표적으로 한 제로데이 취약점에만 초점을 맞추면 대상 벤더와 제품 범위가 넓어지고 기업 전용 기술 악용도 증가하고 있다. 구글은 몇 년에 걸쳐 공격자 버그를 더 빨리 발견하고 패치할수록 익스플로잇 지속 시간이 짧아지고 공격자 능력 유지 비용이 늘어난다는 점을 알게 됐다며 업계 차원에서 이런 교훈을 적용해 공격 대상 벤더 더 넓은 생태계에 패치를 적용하는 방법을 배워야 한다고 밝혔다.
구글은 제로데이 취약점 보고서에서 주요 발견 사항으로 6가지를 꼽았다. 첫째 벤더 투자가 변화를 가져왔다는 것. 구글 MiraclePtr로 크롬 유즈애프터프리 취약점 악용을 방지하고 애플 iOS 대상 잠금 모드 도입으로 많은 익스플로잇 체인 악용 차단에 성공했다. 둘째 공격자가 2023년 제3자 컴포넌트와 라이브러리에 주목했다는 것. 2023년 주요 표적은 제3자 컴포넌트와 라이브러리의 제로데이 취약점으로 이 유형 취약점을 악용하면 다수 제품에 영향을 미칠 수 있다.
셋째 기업 표적 공격이 지속 증가하며 2023년에는 더 다양해졌다는 것. 2023년 기업 전용 기술 악용이 늘어 취약점 총수가 전년 대비 64% 증가했다. 최소 2019년 이후 엔터프라이즈 벤더가 명백한 사이버 공격 표적이 됐다.
넷째 상업 감시 벤더가 브라우저와 모바일 기기 악용을 주도했다는 것. 2023년 구글 제품과 안드로이드 생태계 기기 대상 확인된 제로데이 익스플로잇 17건 중 13건(75%)이 상업 감시 벤더에 의한 것이었다. 2023년 악용된 브라우저/모바일 기기 제로데이 취약점 37건 중 60% 이상이 스파이웨어를 정부 고객에 판매하는 상업 감시 벤더에 기인했다.
5번째 중국이 정부 지원 악용을 계속 선도했다는 것. 중국 사이버스파이그룹의 제로데이 취약점 악용은 2022년 7건에서 2023년 12건으로 늘었으며 이는 다른 어느 국가보다 많다. 구글 측은 몇 년간 관측된 추세가 계속되고 있다고 밝혔다.
6번째 금전적 동기 행위자와 관련된 악용은 비례해서 감소했다는 것. 2023년 악용된 제로데이 취약점 10건은 금전 목적 공격자에 의한 것이지만 전체 비중은 2022년보다 낮아졌다. 위협 그룹 FIN11이 3개 별도 제로데이 취약점을 악용했고 최소 4개 랜섬웨어 그룹이 4개 취약점을 각각 악용한 것으로 확인됐다.
구글 측은 최근 제로데이 취약점을 활용한 사이버 공격이 늘어나고 익스플로잇 기술이 발전하면서 더 많은 공격자가 심각한 위협을 보다 쉽게 활용할 수 있게 됐다고 지적한다. 구글은 개인과 조직이 활용할 수 있는 6가지 보안 권고 사항을 제시했다.
첫째. 업계가 위기 해결을 돕는 최선의 방법 중 하나는 투명성과 정보 공개를 통해 교훈과 패치를 가능한 한 빨리 공개하는 것. 둘째 조직은 자신과 타인에게 피해 위험이 가장 큰 위협을 최우선적으로 대응하는 방어 전략을 수립해야 한다. 셋째 강력한 보안 기반을 구축해야 한다. 구글 보고서는 제로데이 취약점에 초점을 맞췄지만 더 단순한 사이버 공격으로도 공격 성공을 막는 것도 중요하다. 강력한 보안 기반이 있으면 공격자에게 제로데이 취약점 활용을 강요하게 되어 보안이 강화된다는 주장이다.
넷째 소프트웨어 및 제품 벤더는 자사 제품을 표적으로 한 심각한 제로데이 취약점이 발견된 경우 대응 방안을 사전에 준비해야 한다. 패치 적용과 기존 대응 권고 사항이 여전히 유효한 대응책이다.
5번째 위험도 높은 아이폰 사용자의 경우 잠금 모드 활성화를, 픽셀 8 사용자는 ARM 메모리 태깅 확장(MTE) 활성화를 권장한다. 마지막으로 크롬 고위험 사용자는 HTTPS 우선 모드를 활성화하고 v8 최적화기를 비활성화하는 게 좋다.
제로데이 취약점 연구는 사용자와 온라인 생태계 보호에 매우 중요하다. 구글 측은 이 분야에 지속적으로 노력을 기울이고 있으며 2023년 발견된 제로데이 취약점 97건 중 29건을 TAG와 맨디언트가 발견했다. 관련 내용은 이곳에서 확인할 수 있다.