위협 인텔리전스

2023년 Zero-Day 취약점 트렌드

2024년 4월 8일

Mandiant

Threat Analysis Group

보안 상담

보안에 대한 문의사항을 해당 전문가가 상담해 드립니다.

*본 아티클의 원문은 2024년 4월 8일 Google Cloud 블로그(영문)에 게재되었습니다.

구글의 TAG(Threat Analysis Group)과 맨디언트(Mandiant)가 2023년 제로데이 취약점 트렌드를 분석하였습니다. 결과에 따르면 2023년에 총 97개의 제로데이 취약점을 발견했는데, 이는 2022년 62개에 비해 큰 폭으로 증가한 것입니다. 참고로 2021년에는 106개의 제로데이 취약점이 악용되었습니다.

구글 TAG와 맨디언트의 보고서는 2023년 제로데이 취약점 트렌드를 다룹니다. 보고서가 초점을 맞춘 부문은 모바일 기기, 운영체제, 브라우저, 애플리케이션 같은 최종 사용자 환경과 보안 소프트웨어 및 네트워크나 보안 장비 같은 IT 환경입니다.

보고서의 주요 내용은 다음과 같습니다.

하드웨어나 소프트웨어를 개발해 판매하는 기업들이 시스템 및 솔루션의 취약점을 막기 위한 보안 투자를 늘리면서 특정 장비나 솔루션의 취약점을 악용하는 공격 방식의 효과가 떨어지고 있습니다.
공격자들이 외부 라이브러리나 외부 프로그램 같은 써드파티 구성 요소를 노리는 것이 늘면서 다양한 소프트웨어에 영향을 주고 있습니다.
기업을 노린 공격이 늘고 있는데, 공격자들은 보안 소프트웨어와 장비를 집중적으로 공략하고 있습니다.
상업적인 목적으로 감시 소프트웨어를 개발해 판매하는 스파이웨어 업체들이 브라우저 및 모바일 장치 악용을 주도하고 있습니다.
중화인민공화국(RPC)의 지원을 받는 공격 그룹이 제로 데이 취약점을 특히 많이 악용합니다.
재정적 이익을 목적으로 하는 공격 비중이 낮아졌습니다.

이외에도 보고서는 탐지 회피와 지속적인 침투를 위해 공격자들이 제로데이 취약점을 악용하는 사례가 늘고 있으며, 이런 활동은 앞으로 줄어들지 않을 것으로 전망합니다.

2023 Zero-Day 공격 현황

Barracuda ESG: CVE-2023-2868

2023년 5월 Barracuda는 자사의 이메일 보안 게이트웨이(ESG)에 존재하는 제로데이 취약점(CVE-2023-2868)이 2022년 10월부터 악용되었다고 밝혔습니다. 이에 대한 조사를 맡은 맨디언트는 이 공격이 중국의 사이버 스파이 그룹인 UNC4841에 의해 이루어졌고, 이들이 중국 정부를 위한 스파이 활동을 하려고 다양한 지역과 분야의 조직을 대상으로 공격을 진행하였다고 결론지었습니다. 조사 과정에서 맨디언트는 발견한 내용을 블로그 포스트로 공개하였고, 추가 세부 사항 확인한 다음 후속 포스트와 보안 강화 가이드도 공유하였습니다. 또한, Barracuda도 이 취약점에 대응하기 위한 권고 사항을 발표하였습니다.

VMware ESXi: CVE-2023-20867

맨디언트는 중국의 사이버 스파이 조직인 UNC3886이 탐지를 회피하고 자신들의 활동을 숨기기 위해 VM웨어의 제로데이 취약점( CVE-2023-20867)을 악용해 온 사실을 밝혀냈습니다. 이 조직은 VM웨어의 가상화 플랫폼인 ESXi, vCenter에 대한 깊은 지식과 기술적 이해를 바탕으로 악의적인 활동을 해왔습니다. 관련해 맨디언트는 UNC3886의 활동과 이들이 VM웨어의 제로데이 취약점을 어떻게 악용했는지를 소개하는 블로그 포스팅을 게시하였습니다. 또한, 이 위협을 더 효과적으로 탐지, 격리, 방어하기 위한 방법도 공개했습니다. VM웨어도 이 취약점에 대응하기 위한 권장 사항을 공지하였습니다.

MOVEit Transfer: CVE-2023-34362

맨디언트는 Progress Software가 제공하는 MOVEit Transfer 파일 전송 소프트웨어에서 발견한 제로데이 취약점(CVE-2023-34362)이 2023년 5월 27일부터 데이터 탈취를 위해 악용되고 있음을 발견했습니다. 처음에는 이 활동의 배후로 UNC4875를 의심하였으나, 분석 과정에서 목표 설정, 사용한 인프라, 인증서, 데이터 유출 사이트의 중복성 등을 고려해 FIN11 조직과 연관된 공격이라는 결론에 도달하였습니다. 관련해 맨디언트는 해당 활동의 세부 사항을 정리한 블로그 포스트를 게시하였고, 이 위협을 탐지하고 격리하기 위한 보안 강화 방안을 담은 포스트도 공개하였습니다. Progress Software도 이 취약점에 대한 세부 정보와 권장 사항을 담은 공지를 올렸습니다.

보고서를 읽어야 하는 이유

제로데이 취약점은 널리 퍼질 수 있는 잠재력이 있습니다. 따라서 소프트웨어나 장비를 기업에 공급하는 회사는 사용자와 고객을 보호하기 위해 지속해서 보안에 투자해야 합니다. 또한, 조직이 규모와 업종에 관계없이 모든 조직은 항상 경계해야 합니다. 제로데이 공격이 성공하면 큰 경제적 손실, 기업의 명성 훼손, 데이터 유출 같은 심각한 결과를 초래할 수 있습니다.

제로데이 위협을 방어하는 것은 어려운 일이지만 여러 계층으로 구성한 방어 전략을 적용하면 효과적으로 대응할 수 있습니다. 조직은 취약점 관리, 네트워크 세그멘테이션, 최소 권한 원칙 적용, 공격 가능 영역 줄이기 등 보안 원칙을 잘 따라야 합니다. 또한, 적극적으로 위협 탐지 활동을 하고, 보안 전문 기관들이 제공하는 지침과 권장 사항을 잘 따라야 합니다. 더 자세한 내용은 보고서를 참조 바랍니다.

-Mandiant, 작성자: Maddie Stone, Jared Semrau, James Sadowski

게시 위치