2021 has broken the record for zero-day hacking attacks

기록 세운 제로데이 해킹 공격

올해 컴퓨터나 소프트웨어의 취약점을 노린 이른바 '제로데이 공격'으로 불리는 사이버 공격 적발 건수가 사상 최대치를 기록했다. 하지만 이를 반드시 부정적으로만 볼 필요는 없을 수 있다.

지금까지 알려진 적이 없는 컴퓨터나 소프트웨어의 취약점을 노린 사이버 공격 수법인 이른바 ‘제로데이 익스플로잇(zero-day exploit)’은 해커들에겐 상당한 돈벌이 수단이다. 해커들은 이 수법을 100만 달러(약 11억 8,000만 원) 이상을 받고 팔아 돈을 벌 수 있기 때문이다.

MIT 테크놀로지 리뷰가 접촉한 복수의 데이터베이스, 연구원, 사이버보안 기업들에 따르면, 올해 사이버보안 전문가들은 역대 가장 많은 수의 제로데이 공격을 잡아냈다. 제로데이 추적 프로젝트(0-day tracking project) 같은 데이터베이스는 올해 적어도 66건의 제로데이 공격을 적발해냈는데, 이는 지난해 적발 건수의 근 두 배이자, 역사상 어떤 다른 해보다 많은 건수다.

제로데이 공격 적발 건수

이처럼 기록적인 수치가 관심을 끌긴 해도 이 수치의 의미를 제대로 해석하기는 어려울 수 있다. 이는 컴퓨터나 소프트웨어의 취약점, 즉 제로데이가 그 어느 때보다 더 쉬운 공격 대상이 되고 있다는 뜻으로 받아들여야 할지, 아니면 방어자들이 이전에는 놓쳤을 해커들을 더 잘 잡아낼 수 있게 된 것으로 받아들여야 할지 모호할 수 있기 때문이다.

에릭 도어 마이크로소프트 클라우드 보안 부문 부사장은 “제로데이 공격은 분명 증가 추세다”라면서도 “다만 그것이 하늘이 무너질 일인지 아닌지 따져봐야 하는데, 난 ‘좀 다르게 보는 쪽'”이라고 말했다.

전력을 다하는 해커들

제로데이 보고 비율이 높아진 요인 중 하나는 전 세계적으로 해킹 도구가 급속하게 확산하고 있기 때문이다.

힘 있는 세력들은 너 나 할 것 없이 자신들이 직접 공격에 이용하기 위해 제로데이 공격 수법에 엄청난 돈을 쏟아붓고 있다. 그리고 그들은 그에 대한 보상을 받고 있다.

먹이사슬의 맨 꼭대기엔 정부 후원을 받는 해커들이 있다. 중국 정부만 하더라도 올해 9차례의 제로데이 공격의 배후로 의심된다고 미국 사이버보안 기업 파이어아이 맨디언트(FireEye Mandiant)의 제로데이 악용 전문가 재러드 셈라우는 주장했다. 미국과 미국의 동맹국들은 분명 가장 정교한 해킹 능력을 보유하고 있는데, 그들도 이를 더 공격적으로 사용해야 한다는 목소리가 커지고 있다.

셈라우는 “고도의 기술을 요하는 최고 수준의 스파이들이 지난 몇 년 간 볼 수 없었던 방식으로 전력을 다해 활동하고 있다”고 주장했다.

제로데이 공격 수법의 구매를 원하는 국가 중 미국과 중국 정부만한 역량을 지닌 곳이 거의 없다. 강력한 공격 수법을 구하려는 대부분의 국가들은 자국에 이를 개발할 인재나 인프라가 없기 때문에 개발 대신 구매에 나선다.

날로 성장하는 제로데이 업계에서 제로데이 공격 수법을 구매하기가 어느 때보다 쉬워졌다. 한때 엄두도 못 낼 정도로 고가였지만 이제 가격이 많이 내려갔다.

셈라우는 “정부 고객들이 이스라엘 보안기업인 NSO 그룹 등으로 이동하는 것을 목격했다”면서 “제로데이 공격이 점점 더 알려지자 국가들은 돈을 주고 공격 수법을 사고 있다”고 전했다. 아랍에미리트, 미국, 유럽과 아시아의 강대국들이 모두 제로데이 업계에 많은 돈을 쏟아부었다.

사이버 범죄자들 역시 최근 몇 년간 제로데이 공격을 통해 많은 돈을 벌기 위해 소프트웨어의 취약점을 찾아내기 위해 애쓰고 있다.

셈라우는 “돈벌이에 눈이 먼 해커들이 그 어느 때보다 더 고도의 기술을 확보했다”면서 “우리가 최근 추적한 제로데이의 3분의 1이 그들이 벌인 공격일 수 있다”고 말했다.

발전하는 사이버 방어 기술

제로데이 공격 수법을 개발하거나 구매하는 사람이 늘어나고 있지만 이것이 꼭 나쁜 것만은 아니다. 사실 일부 전문가들은 이를 대체로 긍정적인 일로 간주한다.

본지와 인터뷰한 사람들 중에서 이 짧은 기간 안에 제로데이 공격 횟수가 두 배 이상 증가했다고 생각하는 사람은 아무도 없다. 실제로 공격 횟수가 아닌 적발 건수가 그렇게 늘어났다. 이는 방어자들이 해커를 잡는 데 더 능숙해지고 있음을 시사한다.

구글의 제로데이 스프레드시트(zero-day spreadsheet)와 같은 데이터를 살펴보자. 이것은 거의 10여 년간 적발된 주요 해킹을 추적하고 있다.

이와 같은 추세가 반영할 수 있는 한 가지 변화는 방어에 쓰일 수 있는 자금이 더 많아졌다는 것이다. 특히 기술 기업들이 새로운 제로데이 발견에 내거는 포상금과 사례금이 더 커졌기 때문이다. 하지만 더 나은 도구도 있다.

호주 정보보안업체 아지무스 시큐리티(Azimuth Security)의 설립자인 마크 다우드(Mark Dowd)는 확실히 방어자들이 비교적 단순한 공격만을 잡아낼 수 있었던 과거에 비해 이제는 더 복잡한 해킹을 발견할 수 있게 되었다고 생각한다. 그는 “이것은 더 정교한 공격을 발견하는 역량의 증진을 의미한다고 본다”고 말했다.

구글의 위협 분석 그룹(TAG), 카스퍼스키(Kaspersky)의 글로벌 연구 분석팀(GReAT), 마이크로소프트의 위협 인텔리전스 센터(MSTIC)와 같은 조직들은 엄청난 인재와 자산 및 데이터를 보유하고 있어 사실상 적의 해커를 탐지하고 추적하는 국가 정보 기관들에 필적할 만한 능력을 갖고 있다.

마이크로소프트나 크라우드스트라이크(CrowdStrike)와 같은 기업들은 대규모로 탐지 활동을 벌인다. 안티바이러스 소프트웨어 같은 오래된 도구들의 이상 활동 탐지는 줄어들었다. 반면 오늘날의 대기업들은 수백만 대의 컴퓨터에서 작은 이상을 포착한 다음 이를 추적해 침입에 사용됐던 제로데이까지 밝혀낼 수 있다.

마이크로소프트의 도어 부사장은 “지금 제로데이를 더 많이 목격하고 있는 이유 중 하나는 우리가 제로데이를 더 많이 발견하고 있기 때문”이라며 이렇게 덧붙였다. “우리는 더 집중하고 있다. 이제는 모든 고객에게 무슨 일이 일어나고 있는지를 알 수 있으며, 이를 통해 더 신속하고 확실하게 상황을 파악할 수 있다. 신규 제로데이 공격을 발견하게 되는 안 좋은 상황이 발생하더라도 이는 1만 명의 고객이 아니라 1명의 고객에게만 피해를 입힐 것이다.”

그러나 현실은 이론보다 훨씬 더 까다롭다. 연초 여러 해킹 단체는 마이크로소프트 익스체인지(Exchange) 이메일 서버에 대한 공격을 개시했다. 치명적인 제로데이 공격으로 시작된 이 상황은 마이크로소프트가 배포한 보안 패치를 사용자들이 깔기 전인 짧은 기간 동안 훨씬 악화되었다. 이런 공백이야말로 해커들이 가장 노리고 있는 지점이다.

그러나 일반적으로는 도어의 말이 맞다.

창과 방패

비록 제로데이가 그 어느 때보다 많이 목격되고 있다고 해도 모든 전문가들이 동의하는 한 가지 사실이 있다. 바로 제로데이 공격이 점점 더 어려워지고 있으며 성사시키는 데 드는 비용도 더 많아지고 있다는 점이다.

방어 능력이 향상되고 시스템이 복잡해짐에 따라 해커들은 목표 대상을 뚫기 위해 10년 전에 했던 것보다 더 많은 작업을 수행해야 한다. 다시 말해, 해킹 공격에는 더 많은 비용이 들고 더 많은 자원이 필요하다. 하지만 수많은 기업이 클라우드 환경에서 운영되고 있기 때문에 하나의 취약점으로 수백만 명의 고객이 공격을 받을 수 있는 최악의 상황에도 봉착할 수 있다.

도어는 “10여 년 전, 기업이 자체적으로 운영하는 사내 서버가 있던 시절에는 한 회사만 공격하는 해킹이 많았다”면서 “게다가 당시에는 어떤 일이 벌어지고 있는지를 파악할 수 있는 장비를 갖추고 있던 회사도 거의 없었다”고 설명했다.

방어력 향상에 직면하게 되면서 해커들은 종종 한 가지 수법만 사용하는 게 아니라 여러 가지 수법을 서로 연결해서 써야 한다. 이런 ‘연쇄 수법’에는 더 많은 제로데이가 필요하다. 이러한 수법을 발견하는 데 성공하는 것 또한 적발 건수가 급격히 증가한 이유이기도 하다.

다우드는 “오늘날 공격자들은 목표를 달성하기 위해 연쇄 수법을 보유해야 하므로 더 많은 투자를 해야 하고 더 큰 위험을 감수해야 한다”고 말했다.

한 가지 중요한 신호는 가장 가치 있는 공격 수법의 가격 상승에서 비롯된다. 그것을 사들였다가 되파는 보안 기업인 제로디움(Zerodium)의 홈페이지에 공개된 제로데이 공격 수법 가격처럼 접근 가능한 제한된 자료에 따르면, 지난 3년 동안 최고급 수법의 구매 가격은 1,150%나 상승했다.

하지만 설사 제로데이 공격이 어려워졌더라도, 수요는 증가했고 공급은 따라온다. 하늘이 무너지지는 않을지 몰라도 완전히 화창한 상태가 유지되리라고 말하기 힘들지 모른다.

미리보기 3회1회

MIT Technology Review 구독을 시작하시면 모든 기사를 제한 없이 이용할 수 있습니다.