Wealthy cybercriminals are using zero-day hacks more than ever

제로데이 해킹이 진화하고 있다

사이버 범죄자들의 제로데이 해킹 공격이 늘어나고 있어 심각한 피해가 우려되고 있다.

막대한 자본력을 갖춘 사이버 범죄 조직들에 의한 ‘제로데이 공격(zero-day exploit)’이 이전보다 빈번하게 발생하고 있는 것으로 나타났다.

제로데이 공격이란 ‘제로데이’라는 명칭에서 알 수 있듯 새로운 취약점이 밝혀진 후 공식적인 보안 패치가 배포되기 전 시간적 여유 없이 감행되는 해킹 공격을 말한다. 이 과정에서 공격 대상물에 접근 권한을 얻어낸 해커에게는 금전적 보상이 돌아가는 덕에 제로데이 공격은 해커들에게 상당한 돈벌이 수단이 되었다.

제로데이를 구입하거나 개발하기 위해서는 아무리 적게 잡아도 100만 달러(약 12억원) 이상의 비용이 든다. 이러한 이유로 원래 제로데이는 국가의 지원을 받아 운영되는 최고 스파이 집단들의 컴퓨터에서만 발견되어 왔다.

그러나 사이버 보안 회사인 맨디언트(Mandiant)이 실시한 연구 결과를 보면, 역대 가장 많은 해킹 공격이 있었던 지난 한 해 동안 사이버 범죄자들의 제로데이 공격 비율이 증가했다. 맨디언트의 연구에 따르면 2021년 제로데이를 악용한 해커 단체의 3분의 1은 정부가 지원하는 사이버 스파이 단체가 아닌 금전적인 동기를 가진 범죄자들이었다. 반면 지난 10년 동안 전체 사이버 범죄 중 제로데이 공격의 비중은 극히 일부에 불과했다. 전문가들은 이러한 급격한 변화가 수십억 달러 규모의 불법 랜섬웨어 산업과 관련이 있다고 확신한다.

맨디언트의 연구원 제임스 사도프스키(James Sadowski)는 “랜섬웨어 공격집단은 랜섬웨어를 운영하면서 끌어모은 엄청난 수익을 이용하여, 새로운 인재를 영입하고 관련 장비를 확보할 수 있었다”면서 “이를 통해 그들은 한때 국가가 지원하는 해킹 단체의 활동 영역이었던 제로데이 공격에 발을 들여놓을 수 있었다”고 말했다.

제로데이는 보통 어둠의 경로를 통해 사고 팔리지만, 우리는 단지 얼마나 많은 돈이 오갔는지 알 수 있을 뿐이다. 최근 MIT 테크놀로지 리뷰는 미국의 한 회사가 어떻게 강력한 아이폰 제로데이를 130만 달러에 팔았는지 자세히 설명하는 보고서를 발간했다.

제로데이 브로커 업체 중 하나인 ‘제로디움(Zerodium)’은 안드로이드 기기를 제어할 수 있는 제로데이를 개발하는 해커에게 250만 달러를 지불하겠다고 제안하고 있다. 제로디움이 이를 손에 넣으면 그들은 정보기관 같은 다른 조직에 상당히 높은 가격을 매겨 판매할 것이다. 정부에서는 그러한 돈을 기꺼이 지불할 용의가 있다. 제로데이는 전 세계 첩보 전쟁에서 즉각적인 비장의 카드가 될 수 있고, 잠재적으로 정보기관이 지출할 가능성이 있는 수백만 달러 이상의 가치가 있기 때문이다.

범죄활동에 악용되는 제로데이

하지만 제로데이가 범죄활동에도 몹시 유용하게 쓰일 수 있다는 사실에는 의심할 여지가 없다. ‘UNC2447’이라는 코드명으로 알려진, 유독 공격적이고 숙련된 한 랜섬웨어 공격집단은 전 세계 주요 기업에서 사용되는 가상 사설 네트워크 도구인 ‘소닉월(SonicWall)’의 제로데이 취약성을 이용했다. 해커들은 접근 권한을 얻은 후 랜섬웨어를 사용했고, 피해자 측에 언론에 해킹 사실을 유포하거나 다크웹에 회사 정보를 팔겠다고 위협하는 방식으로 몸값을 요구하며 협박했다.

근래에 랜섬웨어 공격집단으로 이름을 날린 단체는 ‘다크사이드(Darkside)’로, 이들은 미국 최대 송유관 업체 ‘콜로니얼 파이프라인(Colonial Pipeline)’ 폐쇄에 이어 미 동부 지역의 연료 부족 사태를 초래했다. 사도프스키는 그들이 짧지만 격렬했던 활동 기간 동안 제로데이를 최소한 한 번 이상 이용했을 것으로 추정한다. 세계적으로 유명세를 타고, 그에 따라 원치 않게 여러 법 기관의 관심을 끌게 되자 다크사이드는 곧 활동을 중단했다. 하지만 그들은 단순히 간판만 바꾸어 달았을지도 모른다.

해커에게 제로데이 다음으로 좋은 먹잇감은 원데이(one-day) 혹은 투데이(two-day) 취약점일 것이다. 이 경우 해커들은 취약점이 알려졌으나 아직 그에 대한 보안 패치가 적용되지 않은 시기를 노린다. 사이버 범죄자들 이러한 경쟁에서도 점점 더 발 빠르게 움직이고 있다.

보안업체 ‘크라우드스트라이크(Crowdstrike)’의 정보 담당 수석 부사장인 애덤 마이어스(Adam Meyers)는 “사이버 범죄 집단들은 국가가 지원하는 해커들의 제로데이를 점점 더 빠른 속도로 포착하고 있다”고 말했다. 범죄자들은 제로데이가 사용되는 것을 관찰한 다음, 대부분의 사이버 보안 관리 측에서 무슨 일이 일어나고 있는지 알아채기 전에 그들도 이 프로그램을 확보하여 해킹을 저지른다.

마이어스는 “이러한 사이버 범죄 집단들은 사용법을 빠르게 파악한 다음, 그들의 작전에 이 도구들을 사용한다”고 덧붙였다.

그 어느 때보다 큰돈을 벌어들이고 있는 사이버 범죄자들은 재능이 뛰어난 인재들을 쉽게 고용하고 있다. 그리고 제로데이를 빨리 확보함으로써 얻을 수 있는 추가적인 보상은 그들에게 큰 동기부여가 된다.

지난해 중국 정부가 지원하는 해커 단체들은 중국에서 가장 능력 있는 사이버 첩보 요원들의 지휘하에 마이크로소프트의 이메일 서버를 겨냥해 제로데이 해킹 공격을 하기 시작했다. 그리고 포식자가 있는 곳이면 어디든 그렇듯 이곳에도 까마귀 같은 해커들이 뒤따라 몰려들었다. 탐욕스러운 이 사이버 범죄자들은 수일 안에 제로데이 공격 프로그램을 확보할 수 있었다.

미리보기 3회1회

MIT Technology Review 구독을 시작하시면 모든 기사를 제한 없이 이용할 수 있습니다.