Home > 전체기사

제로데이, 제로클릭, 제로트러스트의 공통점은? ‘제로’ 그것이 문‘제로’다

  |  입력 : 2023-02-07 18:09
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
‘제로’로 알아보는 보안 용어...제로데이 공격, 제로클릭, 제로트러스트
패치가 없는, 그리고 클릭이 없는 상태의 공격 vs. 아무도 신뢰하지 않는 상태의 방어


[보안뉴스 박은주 기자] 제로에는 양면성이 있다. 우주선을 쏘아 올리거나 새해를 맞이하는 카운트다운 순간 3, 2, 1... 0. 새로운 출발과 시작을 알린다. 반면 통장 잔고가 ‘0원’이라면 절망적이다. 안타깝지만 보안업계에서도 부정적 의미로 사용하는 경우가 빈번하다. ‘제로’가 포함된 보안 용어는 어떤 것이 있는지 살펴봤다.

[이미지=utoimage]


제로데이 공격
운영체제(OS)나 네트워크 장비의 취약점이 알려지지 않아 패치가 없는 시점에서 이뤄지는 공격을 말한다. 개발자와 보안 담당자도 모르는 취약점을 공격하니 속수무책으로 당할 수 밖에 없다. 백신이 개발되기 전 코로나19에 전 세계가 꼼짝할 수 없었던 상황과 닮았다.

대표적인 제로데이 취약점 사례로는 2021년 발견된 로그4j(Log4j)가 있다. 로그4j는 프로그램 작성 중 로그를 남기기 위해 사용되는 자바 기반의 오픈소스 유틸리티 프로그램이다. 거의 모든 소프트웨어와 플랫폼에서 사용하는데, 이곳에서 치명적인 취약점이 발견됐다. 최악의 경우 공격자들이 시스템 전체를 장악할 수 있는 상황이었다. 취약점이 공개된 당시 해커들의 대규모 스캐닝 활동과 공격시도가 잇따랐다.

제로데이 취약점을 방치해 원데이 공격으로 이어진 경우도 있다. 원데이 공격은 취약점에 대한 패치가 배포됐지만 아직 패치를 적용하지 않아 당하는 공격을 말한다. 2017년 미국에서 발생한 에퀴팩스 사태를 예로 들 수 있다. 미국 3대 신용정보업체인 에퀴팩스가 이미 배포된 아파치 스트러츠 취약점 패치를 적용하지 않았고, 해커들의 공격에 고객들의 사회보장번호, 생년월일 등 개인정보가 유출됐다. 약 1억4,300만 명의 개인정보 유출 피해가 발생했는데, 이는 미국 인구의 절반에 해당하는 수치다.

코로나19 이후 비대면 활성화로 온라인 영역이 확대 되면서 취약점의 수가 늘어났으며, 해커들은 약점을 호시탐탐 노리고 있다. 코로나19 백신이 개발됐어도 변종 바이러스가 생겨나는 것처럼 프로그램에서 취약점은 끊임없이 발견된다. 제로데이 공격은 별도의 대처방안 없이 가공할만한 피해를 입힌다. 이에 기업의 경우 내·외부망을 분리, 침해지표와 기계학습을 이용한 EDR(Endpoint Detection & Response) 기술을 이용하거나 PMS(Patch Managment System)를 사용하면 자동으로 전체 시스템의 패치 관리를 최신화할 수 있다. 개인의 경우 발표되는 패치를 그때 그때 적용하는 것이 제로데이 공격에 대응할 수 있는 유일한 방법이다.

제로클릭
제로클릭은 단어 그대로 클릭이 제로인 상태를 말하며, 이때 이뤄지는 해킹을 의미한다. 보통 스마트폰 보안수칙으로 의심스러운 링크나 메시지, 이메일을 함부로 클릭하지 말 것을 당부하지만 제로클릭 앞에서는 무용지물이다. 이스라엘의 NSO 그룹에서 만든 ‘페가수스’가 제로클릭이 적용된 대표적인 스파이웨어다.

공격자는 아무도 모르게 침투해 피해자의 스마트폰을 좀비폰으로 만든다. 피해자의 통화를 도청·녹음하고 카메라를 통해 사진을 촬영하며 비밀번호를 알아내 사용자의 위치를 추적한다. 페가수스 앱이 무서운 이유는 공격자가 메시지를 보내고, 전화를 거는 것만으로 설치된다는 것이다. 이는 보안전문가도 탐지하기 어려운 고급 기술로 설치 후에도 발견하기 어렵다고 알려졌다. 제로클릭 공격은 정부기관 관계자, 정치인, 활동가 등 고위급 인사나 언론인을 대상으로 감행됐다.

국제사면위원회는 자체 분석·조사결과 페가수스 멀웨어에 감염된 것으로 보이는 피해자를 알아냈다고 발표했다. 그중 워싱턴포스트의 기자 자말 카슈끄지(Jamal Khashoggi)와 가까운 사람들의 핸드폰이 사우디아라비아와 UAE의 감시 표적이었다는 것이 밝혀졌다. 자말 카슈끄지는 2018년 사우디 왕자와 관련된 세력에 의해 살해당했다.

2022년 7월 워싱턴포스트의 보도에 따르면 프랑스의 마크롱, 이라크의 바르함 살리, 남아프리카공화국의 시릴 라마포사 대통령과 파키스탄의 임란 칸, 이집트의 무스타파 마드불리, 모로코의 사드에딘 엘 오트마니 총리가 패가수스 앱을 통해 해킹 피해를 입은 것으로 밝혀졌다.

소비자는 소프트웨어와 기기를 믿고 사용할 수밖에 없는 입장이다. 개발자도 보안전문가도 모르는 제로데이 공격과 제로클릭 공격의 대표적 사례인 페가수스 해킹을 보면 커져가는 사이버 위협에 아무것도 신뢰할 수 없겠다는 우려가 든다. 이때 누구도 신뢰할 수 없음을 바탕으로 사이버 보안을 지키자는 의견이 있다.

제로트러스트
‘아무것도 신뢰하지 않는다’를 전제로 하는 보안 원칙이다. 보안 위협에 예방하는 차원이 아닌 이미 해킹됐으니 피해를 최소화하자는 시선으로 다가간다. 사용자나 기기가 접근을 요청할 때 철저히 검증하고, 검증이 이뤄진 후에도 최소한의 권한만 부여하는 방식이다.

제로트러스트는 코로나19의 여파로 각광받기 시작했다. 원격·재택근무가 확산돼 다양한 환경과 여러 기기에서 조직 내부 네트워크로 접속하게 됐다. 기업이나 기관의 기존 보안체계가 한계에 다다랐고 보안 강화가 필요해졌다. 이때 제로트러스트 보안을 도입해 내부자든 외부자든 상관없이 인증절차와 신원확인을 엄격하게 진행하고 최소한의 권한을 부여해 보안을 유지하는 것이다.

미국 연방정부 중심으로 제로트러스트 도입에 팔을 걷어붙였다. 2021년 5월 바이든 대통령은 ‘국가 사이버보안 개선을 위한 행정 명령(Executive Order 14028)’에 서명했고, 2021년 6월 미국 사이버보안 전담기관 CISA는 제로트러스트 성숙도 모델(Pre-decisional Draft)을 발표했다. 한국의 공공기관과 기업 또한 제로트러스트를 원칙으로 한 정보보호 정책을 연구하고 있다. 한국인터넷진흥원(KISA)에서 2022년 정보보호 기업 육성 및 지원사업으로 제로트러스트 개발지원을 선정하기도 했다.

그러나 제로트러스트를 도입하기 위해선 ‘재고파악(?)’이 우선적으로 이뤄져야 한다. 조직과 직원들의 업무 프로세스까지 보안담당자들이 파악하고 있어야 어느 정도의 권한을 부여할지 결정하고, 정상 접근 여부를 확인할 수 있기 때문이다.

사람은 기본적으로 신뢰하려는 본성을 가진다. 또한, 기업의 경영진이나 관리자급에선 권한 축소를 반기지 않는 경향을 보인다. 사람이 가진 본성과 기업 내 분위기로 제로트러스트 보안이 일상에 온전히 자리잡기까지는 시간이 더 걸릴 것으로 보인다.
[박은주 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아스트론시큐리티 파워비즈 2023년2월23일 시작 시큐아이 위즈디엔에스 2018
설문조사
오픈AI가 개발한 인공지능 챗봇 챗GPT가 GPT4 버전까지 나오면서 디지털 혁신의 촉매재 역할을 하고 있습니다. 보안 분야에서도 챗GPT로 인해 보안위협이 가속화될 것이라는 전망과 함께 보안업무에 효과적으로 활용된다면 보안대응 역량 향상에도 크게 기여할 것이라는 의견도 제기됩니다. 이에 대한 여러분들의 생각은 어떠신가요?
챗GPT 악용으로 인해 보안위협이 더욱 고도화되고 증가할 것
챗GPT를 악용하는데 한계가 있어 보안위협이 소폭 늘어나는 추세에 그칠 것
챗GPT 활용에 따라 보안대응 업무에 적지 않은 도움이 될 것
챗GPT의 적극적인 도입 및 적용 통해 보안대응 역량이 획기적으로 향상될 것
보안위협 또는 보안대응과 관련해서는 큰 영향이 없을 것
기타(댓글로)