제로데이 공격, Zero-day Attack

오늘은 보안 이슈나 보안 관련 기법이 아닌 한 가지 용어에 대해 써보려 합니다.

여러분이 보안에 관심을 가지고 국내외의 자료를 찾게 되시면, 종종 보게 되실 용어인데요. 위 그림에서 가장 크게 들어오는 'Zero-day Attack'입니다.

 

공격 방법을 처음 안 날, Day 0 ; Zero-day

제로데이 공격이라는 것은 사실 DDoS나 랜섬웨어처럼 '컴퓨터의 어떤 취약점을 이렇게 공격하는 방법이다'라는 기술이 아닙니다. 여러분이 들어보지도 못했던 공격 방법들을 통틀어서 말하는 용어죠.

 

프로그램을 만들게 되면 어쩔 수 없는 오류나 취약점들도 함께 만들어 지게 되는데요. 이 때문에 몇몇 프로그래머들은 프로그램에서 오류가 발견되지 않는다면 '오류가 없는게 오류야'라면서 허탈하게 웃기도 합니다. 이렇게 존재하는 오류나 취약점들을 보완하기 위해서 프로그래머들은 밤낮으로 고생을 하는데요. 이들조차 파악하지 못한 문제점이 있다면 어떻게 될까요. 그리고 만약 해커들이 이런 문제점을 먼저 발견한다면요.

 

해커들은 개발자들이 알지 못하는 문제점을 이용해 자신들의 이익을 만들겠죠. 그리고 문제가 생긴 것을 안 개발자들은 그 때부터 보안 패치를 진행할 것입니다.

 

즉 제로데이 공격은 '문제점을 처음 안 날'이라는 Day 0, Zero-day에서 따온 말이고, 공식적으로 발표되지 않았던 문제점들을 사용해 해킹에 사용하는 모든 공격을 말하는 것입니다.

 

또한 공식적으로 발표되지 않고 개발진들 내에서만 수정, 보완을 하고 있던 취약점이라 하더라도, 공식적 발표와 보안 패치가 진행되기 전에 수행된 공격들도 제로데이에 포함합니다. 하지만 대부분의 제로데이 공격 대상물은 대중과 프로그램 배포자들이 잘 모르는 일이 보통이죠. 때문에 제로데이 공격이 수행되었다는 사실을 접했다면 이미 해커들은 충분히 그 기법으로 이득을 보았다고 보아도 무방하며, 피해는 막심하다고 생각을 하고 대처해야 합니다.

 

보안 전문가들 중에는 프로그램을 분석해서 개발진들이 알고 있는 것 외의 취약점이 없는지를 분석하는 것을 주로 삼는 사랍도 있습니다. 또한 해커들은 찾아내기는 힘들지만, 하나만 찾아내더라도 큰 피해를 입힐 수 있기 때문에 이를 찾아내기 위해 혈안이 되어있고, 이는 큰 금액으로 거래되기도 합니다.

 

윤리적 문제

해커들과 보안 전문가들이 모두 단 하나라도 찾아내기 위해서 혈안이 되어있는 제로데이 취약점은 그 정보를 수집, 사용하는 데에 여러 의견이 갈리는데요. 보안 전문가들의 경우 취약점의 특성과 악용 사례들을 더 잘 이해하기 위해 이를 연구하는 목적으로 이를 수집합니다. 또한 위에서도 말씀드린 것처럼 해커들의 개인적 사익을 위해서 큰 금액으로 거래되기도 하죠. 취약점을 사고 파는 것에 대해서는 대부분의 지역이 합법으로 인정을 하지만 이를 발표하는 방법에서 윤리적인 문제가 있는 것이 아니냐는 여러 의견이 갈리고 있습니다.

 

연구 성과를 알기 위해서라는 명목으로 민간의 컴퓨터에 공격을 수행할 수도 있으며, 이는 제로데이 취약점을 판매한 쪽에서 사용했는지 연구자가 수행했는지를 명확히 추적하기 어렵기 때문입니다. 또한 세간의 이목을 끌기 위해서 과격한 수단으로써 이용될 수 있다는 점도 존재합니다.

 

독일에서는 이런 사례들에 대해 사이버범죄 집회의 6조항을 포함해 판결을 내리고 있으며, 곧 EU에서 시행될 GDPR에서 취약점을 사고파는 행위를 강력하게 제제할 가능성이 보입니다.

 

때문에 만약 여러분이 이런 취약점을 발견하고 연구하는 사람이라면 RFPolicy의 발표 가이드라인을 따르거나, 이보다 최근인 2004에 발표된 OIS 보안 취약점 보고 가이드라인을 따르는 것을 추천합니다.

OIS_Guidelines for responsible disclosure.pdf