상반기 해킹에 쓰인 '제로데이' 살펴보니

프로젝트 제로, 취약점 11종 소개

컴퓨팅입력 :2020/08/03 16:08    수정: 2020/08/03 17:08

구글 보안 전문가 조직 '프로젝트 제로'가 올해 상반기 실제 공격에 악용된 것으로 나타난 제로데이(알려지지 않았던 취약점) 11개를 소개했다고 미국지디넷이 2일(현지시간) 보도했다.

■파이어폭스

프로젝트 제로는 상반기에 악용된 제로데이로 파이어폭스 취약점 'CVE-2019-17026'를 소개했다. 이 취약점은 중국 IT 기업인 치후360 보안 연구팀에 의해 발견됐다. 치후360 연구팀은 이 취약점이 시스템 제어 권한을 탈취할 수 있으며, 중국 정부기관을 노리는 공격에 악용됐다고 언급했다.

이에 대해 지난 1월 파이어폭스 개발사인 모질라는 해당 취약점을 악용한 스피어피싱 공격이 전개되고 있다고 밝혔다. 이후 출시된 파이어폭스 72.0.1 버전에서 보안 패치를 적용했다.

지난 4월 발견된 파이어폭스 취약점 'CVE-2020-6819'와 'CVE-2020-6820'도 상반기 악용된 제로데이로 소개했다. 모질라는 두 취약점에 대해 원격 코드 실행(RCE)이 가능하다고 밝혔으며, 심각도는 '치명적(critical)'으로 분류했다. 파이어폭스 74.0.1 또는 파이어폭스 ESR 68.6.1 미만 버전을 사용할 경우 이 취약점이 유효할 수 있다고 덧붙였다.

당시 모질라는 이 취약점들을 소개하면서 실제 공격에도 악용되고 있다고 밝혔다. JMP시큐리티 보안 연구원들이 이 취약점을 보고했다.

[출처=모질라]

■MS 인터넷 익스플로러(IE)

마이크로소프트(MS)는 IE 제로데이 취약점 'CVE-2020-0674'을 지난 1월 발표했다. 이 취약점은 RCE가 가능한 취약점으로, 치후360과 일본침해사고대응팀(JPCERT)이 발견했다.

이 취약점은 특정 정부의 지원을 받는 것으로 추정되는 해킹 그룹 '다크호텔'이 중국, 일본 내 표적을 공격하는 데 활용된 것으로 분석됐다. 다크호텔은 이 취약점을 악용해 표적들이 트로이목마에 감염되도록 유도했다.

MS는 지난 2월 해당 취약점에 대한 보안 패치를 제공했다.

■구글 크롬

크롬 제로데이 취약점 'CVE-2020-6418'은 구글 위협 분석 그룹(TAG)에 의해 지난 2월 탐지됐다. 이 취약점이 악용된 공격 관련 자세한 내용은 공개되지 않았다. 구글은 크롬 80.0.3987.122 버전에서 보안 패치를 내놨다.

■트렌드마이크로 '오피스스캔'

트렌드마이크로의 안티바이러스 솔루션 '오피스스캔' 취약점인 'CVE-2020-8467', 'CVE-2020-8468'도 상반기 실제 공격에 악용된 제로데이로 소개됐다.

트렌드마이크로는 고객사인 일본 전자 기업 미쓰비시전기 데이터 유출 사건을 조사하면서 이 취약점을 발견했다. 회사는 보안 패치를 내놓은 상태다.

■MS 윈도

MS는 지난 4월 보안 패치를 출시하면서 윈도 환경에 존재하는 RCE 취약점 'CVE-2020-1020', 'CVE-2020-0938'과 권한 상승 취약점 'CVE-2020-1027'에 대한 보안 문제를 해결했다. 프로젝트 제로는 이 취약점들을 상반기 해킹에 악용된 제로데이로 소개했다.

이 취약점들은 구글 TAG가 발견했다. 취약점을 악용한 공격 사례에 대해 자세한 사례는 밝혀지지 않았다.

■소포스 'XG 방화벽'

소포스 차세대 방화벽 제품인 'XG 방화벽' 관련 제로데이 'CVE-2020-12271'도 상반기 동안 해킹에 악용됐다. 해당 취약점은 SQL 주입 취약점으로, 이를 통해 해커는 시스템에 맬웨어 '아스나로크'를 심었다.

소포스는 이 취약점을 악용하는 해커가 감염된 시스템에 랜섬웨어를 유포하려 했으며, 보안 패치가 적용된 방화벽에서 랜섬웨어 공격을 막아냈다고 밝혔다.

소포스는 지난 4월 이 취약점을 악용한 공격을 탐지했고, 대부분의 공격 시도를 차단했다고 밝혔다. 회사는

■취약점 중 63%는 '메모리 손상 버그'

프로젝트 제로는 이와 함께 지난해 등장한 제로데이들과, 제로데이가 발생한 주요 원인을 분석했다.

지난해 프로젝트 제로에서 탐지한 제로데이는 20개다. 이 중 63%는 메모리 손상 버그로 인해 발생했으며, 이는 올해 발견된 제로데이에서도 동일한 비중을 차지했다고 밝혔다.

미국 지디넷은 지난해 MS가 자사 제품에서 발견된 버그 중 70%가 메모리 손상 버그로 나타난 점, 구글도 크롬에서 지난해 발견된 버그 중 70%가 메모리 손상 버그였다는 점을 고려할 때 통계적으로 비슷한 특징을 보였다고 지적했다.

이 중 11개는 마이크로소프트(MS) 제품과 관련된 취약점이었다. 이에 대해 윈도 관련 버그를 탐지하는 데 특화된 보안 도구가 많기 때문에 편향된 탐지 결과가 나타났다고 언급했다.

지난해 벤더별 발견된 제로데이 현황(출처=프로젝트 제로)

제로데이 20개 중 7개는 구글에서, 4개는 글로벌 보안 기업 카스퍼스키에서 탐지했다.

프로젝트 제로에 따르면 제로데이 현황을 조사한 지난 2014년 이래 리눅스, 사파리, 맥OS 등에서 제로데이 공격이 활발히 나타난 사례는 발견되지 않았다.

관련기사

안드로이드의 경우 지난해 제로데이가 처음으로 발견됐다. 사용자가 허용된 정보에만 접근할 수 있는 '월드 가든(walled garden)' 정책과 앱의 시스템 접근 여부를 운영체제가 제한하는 '앱 샌드박스' 때문에 모바일 플랫폼 상의 제로데이를 찾기 어렵다는 분석도 내놨다.

프로젝트 제로는 일부 소프트웨어 사업자가 제로데이를 일상적인 버그처럼 감추려 한다는 의구심을 나타냈다.