제로 데이 익스플로잇이란?

zero-day 익스플로잇은 대부분 알려지지 않은 보안 취약점을 악용하는 공격입니다.

학습 목표

이 글을 읽은 후에 다음을 할 수 있습니다:

  • '취약점'의 정의 및 zero-day 취약점 설명
  • zero-day 익스플로잇이 무엇인지 설명
  • zero-day 공격을 방지하는 주요 방법 설명

관련 콘텐츠


계속 알아보시겠어요?

인터넷에서 가장 인기 있는 인사이트를 한 달에 한 번 정리하는 Cloudflare의 월간 요약본 theNET를 구독하세요!

Cloudflare가 개인 데이터를 수집하고 처리하는 방법은 Cloudflare의 개인정보 취급방침을 참조하세요.

글 링크 복사

제로 데이 익스플로잇이란?

zero-day 익스플로잇(zero-day 위협이라고도 함)은 해결 방법이 없는 보안 취약점을 악용하는 공격입니다. 이러한 결함을 "zero-day" 위협이라고 하는데, 이는 결함이 최종적으로 발견되면 개발자나 조직에서 해결책을 마련할 수 있는 시간이 "zero-day"이기 때문입니다.

취약점이란?

취약점은 프로그래밍 오류 또는 부적절한 구성으로 인해 발생하는 의도하지 않은 소프트웨어 또는 하드웨어의 결함입니다. 취약점은 의도하지 않은 것이므로 발견하기 어렵고 며칠, 몇 달, 심지어 몇 년 동안 감지하지 못할 수도 있습니다.

zero-day 익스플로잇은 어떻게 작동할까요?

공격자는 이전에 알려지지 않은 취약점을 발견하면 해당 특정 취약점을 노리는 코드를 작성하여 악성 코드에 패키징합니다. 이 코드가 실행되면 시스템이 손상될 수 있습니다.

공격자가 zero-day 취약점을 악용하는 방법에는 여러 가지가 있습니다. 일반적인 수법 중 하나는 익스플로잇이 포함된 첨부 파일이나 링크가 포함된 피싱 이메일을 통해 맬웨어를 배포하는 것입니다. 이러한 악의적인 페이로드는 사용자가 첨부 파일 또는 링크와 상호 작용할 때 실행됩니다.

2014년 소니 픽처스 엔터테인먼트에서 발생한 유명한 zero-day 공격으로 미개봉 영화 사본, 고위 임원 간의 이메일 커뮤니케이션, 사업 계획 등의 중요한 정보가 일반에 유출된 사건이 있었습니다. 공격자는 이 정보를 얻기 위해 zero-day 익스플로잇을 사용했습니다.

zero-day 익스플로잇은 여러 가지 방식으로 비즈니스에 악영향을 미칠 수 있습니다. 귀중한 데이터나 기밀 데이터가 손실될 뿐만 아니라 고객은 비즈니스에 대한 신뢰를 잃을 수 있으며, 비즈니스는 결함을 패치하기 위해 귀중한 엔지니어링 리소스를 투입해야 할 수도 있습니다.

zero-day 위협을 감지하는 방법

zero-day 위협은 정의상 감지하기 어렵습니다. 더 쉽게 감지할 수 있도록 몇 가지 전략이 개발되었습니다.

  • 통계 기반 감지: 머신 러닝을 사용하여 이전 익스플로잇에서 기록 데이터를 수집하고 안전한 동작에 대한 표준 수준을 설정하여 zero-day 위협을 실시간으로 감지합니다. 그러나 이러한 접근 방식은 패턴이 변화하면 적응하지 못하며, 변화를 고려한 새로운 공격 프로필을 구축해야 합니다.
  • 서명 기반 감지: 이 방법은 보안 모니터링 초창기부터 사용되어 왔습니다.악성 코드의 존재를 나타내는 고유한 값인 기존의 맬웨어 시그니처 데이터베이스는 새로운 잠재적 위협을 검사할 때 로컬 파일과 다운로드에 대해 상호 참조됩니다.이 방법의 단점은 시그니처가 이미 알려진 위협만 식별할 수 있으므로 대부분의 zero-day 위협을 감지할 수 없다는 것입니다.
  • 행동 기반 감지: 기존 소프트웨어와의 사용자 상호 작용을 분석하여 악성 활동의 결과인지 확인합니다.행동 기반 감지에서는 미래의 행동을 학습하고 예상치 못한 행동을 차단하려고 시도합니다.행동 기반 감지는 네트워크 트래픽의 흐름을 예측하는 데 의존합니다.

zero-day 공격을 방지하는 방법

단일 접근 방식으로 코드에 나타나는 취약점을 완전히 방지할 수는 없지만, 몇 가지 전술과 도구를 사용하면 위험을 최소화할 수 있습니다. 취약점 익스플로잇을 차단하는 가장 중요한 두 가지 기술은 브라우저 격리방화벽입니다.

브라우저 격리

이메일 첨부 파일을 열거나 양식을 작성하는 등의 브라우징 활동에는 신뢰할 수 없는 소스의 코드와의 상호 작용이 필요하므로 공격자가 취약점을 악용할 수 있습니다. 브라우저를 격리하면 최종 사용자 장치와 회사 네트워크에서 브라우징 활동이 분리되어 잠재적인 악성 코드가 사용자 장치에서 실행되지 않습니다. 브라우저 격리는 세 가지 방법으로 수행할 수 있습니다.

  • 원격 브라우저 격리: 웹 페이지가 로드되고 코드가 사용자의 장치 및 조직의 내부 네트워크에서 떨어진 클라우드 서버에서 실행됩니다.
  • 온프레미스 브라우저 격리: 이는 원격 브라우저 격리와 유사하게 작동하지만, 격리가 내부적으로 관리되는 서버에서 이루어집니다.
  • 클라이언트 측 브라우저 격리: 웹 페이지는 여전히 사용자 장치에 로드되지만, 프로그램을 별도로 실행하는 보안 메커니즘인 샌드박스를 통해 콘텐츠와 코드가 장치의 나머지 부분과 분리됩니다.

방화벽

방화벽은 미리 설정된 보안 정책에 따라 수신 및 발신 트래픽을 모니터링하는 보안 시스템입니다. 방화벽은 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크(대부분 인터넷) 사이에 위치하여 위협으로부터 보호하고, 악성 콘텐츠가 신뢰할 수 있는 네트워크에 도달하는 것을 차단하며, 중요한 정보가 네트워크를 벗어나지 못하도록 방지합니다. 방화벽은 하드웨어나 소프트웨어로 구축하거나 이 두 가지를 결합하여 구축할 수 있습니다. 방화벽은 트래픽을 모니터링하여 보안 취약점을 겨냥해서 제로 데이 익스플로잇으로 이어질 수 있는 트래픽을 차단합니다.

Cloudflare에서는 zero-day 취약점으로부터 어떻게 보호할까요?

원격 브라우저 격리: Cloudflare의 원격 브라우저 격리 솔루션은 샌드박싱을 통해 감독되는 클라우드 환경에서 사용자의 브라우징 활동을 수행합니다.브라우징 활동이 사용자의 최종 장치에서 격리되므로 해당 장치는 zero-day 위협과 같은 취약점으로부터 보호됩니다.

웹 애플리케이션 방화벽(WAF): Cloudflare WAF는 악의적인 HTTP 트래픽으로부터 웹 애플리케이션을 보호하도록 지원합니다.zero-day 위협이 감지하기 어렵고 보안 환경이 끊임없이 변화하므로 관리 규칙 집합은 이러한 취약성을 방지하는 데 도움이 됩니다.Cloudflare에서는 지속해서 보호를 제공하기 위해 관리 규칙 집합을 정기적으로 업데이트합니다.