자바 및 IE 제로데이 공격의 현실과 대응

3일간 2만여건 이상의 제로데이 공격, 전용장비 하나로 차단될 정도

[보안뉴스= 이석현 트라이큐브랩 대표] IE 0day(CVE 2012-4792), Java 0day(CVE 2013-0422) 공격이 1월 11일부터 국내에 활발하게 발생됨에 따라 현재 공격의 심각성이 높아지고 있다. 따라서 빛스캔(대표 문일준)의 탐지와 연동하여 전용 차단장비를 개발한 트라이큐브랩(대표 이석현)의 차단내역 일부를 공개해 국내 제로데이 공격의 심각성을 환기하고자 한다.

1월 11일 이후 발생된 IE와 Java의 제로데이 공격이 실행되는 악성링크들은 IE가 6종류, Java가 9종류가 발생된 것으로 빛스캔에 의해 확인된 바 있다. IE 제로데이인 CVE 2012-4792의 경우 별도 분기를 통해 공격이 발생되는 것으로 분석됐으며, 자바 제로데이의 경우 최소 7개 가량의 취약성을 이용하는 공격세트에 탑재된 것으로 확인됐다. 발견된 공격세트의 구조를 상세히 살펴보면 다음과 같다.

국내 공격에 주로 이용되는 Gondad Exploit Pack - 자바 제로데이 확인내용

Java 및 IE 제로데이에 대해 트라이큐브랩에서는 악성링크를 분석해 공격구조를 파악하고 즉시 네트워크 수준에서 차단할 수 있도록 적용했으며, 국내 IT 기업에 설치·운영 중인 10G 장비 한 곳에서의 차단내역을 1월 14일 확인했다. 차단 항목은 제로데이 공격이 발견된 악성링크만을 추출해 분석했으며, 관찰기간은 1월 11일부터 14일까지의 차단내역이다.

그 결과 차단내역에서 단 3일간 제로데이 공격과 관련된 차단 횟수는 21,000회 이상이 달한다는 것을 확인할 수 있었다. 제로데이 공격코드가 모든 방문자를 대상으로 실행됐던 웹서비스들의 업종 분류를 보면 다음과 같다.

제로데이 공격이 발생되어 방문자들에게 악성코드 감염을 직접 시도한 서비스 분류

가장 큰 범주로는 일상생활에 해당하는 쇼핑 관련된 웹 서비스와 언론사의 웹 서비스들이 공격을 당해 악성코드를 직접 감염시키는 매개체로 활용된 것을 확인할 수 있다.

현재 제로데이 공격은 계속해서 발생되고 있으며, 한 기업의 네트워크 망 하나에서만도 단 3일간 20,000여회 이상의 공격차단이 발생되는 상황이다. 전체 악성링크 차단내역은 실제로 더 많은 상황이며, 이 데이터는 제로데이 공격에 관련된 내용만을 정리한 자료이다.

패치가 발표되지 않았거나, 패치에 대한 검증이 완료되지 않은 상태에서 발생되는 공격은 지금까지 막을 수 있는 방안이 많지 않았고, 제로데이 탐지를 전문으로 하는 전용 솔루션을 사용하거나 백신의 업데이트를 통해서만 탐지하는 것이 가능한 상황이었다.

그러나 대규모로 유포되고 공격이 발생되는 상황에서는 대응하기가 매우 어려운 상황이 될 수밖에 없다. 이번 IE와 Java의 제로데이 공격과 같은 사안은 공격의 심각성 이외에도, 트라이큐브랩의 큐브디펜스 장비의 차단결과를 살펴보면 국내의 심각한 감염실태를 일부 확인할 수 있다.

지금까지 제로데이 공격에 대한 대응방안은 소규모 발생시에만 대응할 수 있는 방안들이 대부분이라 할 수 있다. APT(지능형 지속 공격)에서나 사용되는 은밀한 제로데이 공격들이 불특정 다수를 대상으로 대규모로 발생된다면, 지금까지의 대응방안은 무력할 수밖에 없다. 불특정 다수를 대상으로 한 공격을 막기 위한 핵심은 사전에 예방하는 것이 최선이라 할 수 있다.

단 3일 동안에 20,000여 건 이상의 제로데이 공격이 전용장비 하나에서 차단됐다는 점은 현재 인터넷 사용자 대다수를 대상으로 한 공격이 매우 광범위하게 발생되고 있음을 보여주는 것이다. 또한, 지금 이 순간의 웹 서핑이 매우 위험한 상황에 놓여 있음을 증명하고 있는 셈이다.

[글_이 석 현 트라이큐브랩 대표이사(bluesky@tricubelab.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)