소프트웨어의 역린 ‘제로데이’

정가온

 it기술이 발전한 현재 it기업들이 골머리를 앓고 있는 범죄가 있다. 바로 제로데이라는 사이버 범죄이다. 특정 소프트웨어의 아직까지 밝혀지지 않은, 혹은 밝혀지거나 알려졌지만 아직까지 수정되지 않은 보안 취약점을 이용한 해킹을 의미한다.. “제로데이"는 해당 취약점이 알려지거나 발견된 날을 뜻하는데, 기업 공격이 행해진 시점에서 이 취약점을 해결할 시간을 채 하루도 가지지 못했음을 뜻한다.

 제로 데이 공격은 그 정의에 따라 해당 취약점에 대한 대책이 아직까지 없기 때문에 공격을 막을 수가 없어서 어떤 컴퓨터든 무방비로 노출될 수밖에 없다. 마이크로소프트의 예를 들면, 취약점의 발견, 제보 그리고 공표 후 그 취약점에 대한 보안패치 개발까지 보통 6시간 이상 걸린다. 취약점을 수정한 새로운 버전이 올라오더라도 받아서 설치할 때까지 시간이 걸리므로, 생각보다 공격이 행해질 수 있는 기간은 길다. 그리고 아예 발견이나 제보조차 되지 않은 취약점이라면 대책이 없다.. 그 취약점을 이용하는 공격 매개체(바이러스, 웜 등의 악성코드)가 발견되지 않는 이상 컴퓨터는 해당 공격에 속수무책으로 당할 수밖에 없다.

 이런 특징으로 인해 제로 데이 취약점, 특히 아직까지 공표되지 않은 취약점은 블랙 해커들에겐 그야말로 꿈의 병기이며, 찾는 데 혈안이다. 보통 이런 제로데이 취약점은 찾아도  함부로 쓰지도 않는다. 쓰는 순간 그 존재와 정보가 노출되고 금방 보안패치가 이루어져 더 이상 제로 데이 취약점이 아니게 되기 때문이다. 제로 데이 취약점은 그 악용 가능성이 무궁무진하기에 블랙해커들 사이의 다크 웹 암시장(일명 블랙마켓)에서 고가의 가격으로 팔리기도 한다. 특히 사람들이 많이 쓰는 소프트웨어일수록, 생각보다 의외로 많은 공격이 제로 데이 공격으로 이뤄진다. 사람들이 많이 사용하는 소프트웨어일수록 다크웹 암시장에서 비싼 값에 팔리고 소프트웨어를 공격했을 때도 더 많은 피해를 입힐 수 있고 더 많은 것들을 얻어 낼 수 있기 때문이다.

 대표적인 제로데이 공격의 사례로는 스턱스넷이 있다. 스턱스넷은 미국의 nsa와 이스라엘의 모사드가 공동개발한 악성코드로 2010년 이란의 핵 개발 시설을 해킹하여 무력화하였다. 또 윈도우에 대한 제로데이 취약점도 5개나 발견한 것으로 알려져 있으며 굉장히 무시무시한 녀석이다.

 그렇다면 제로데이를 막을 방법은 없는 것일까? 최근 정보보안 업계에서 새롭게 제시되고 있는 정보보안 기술인 사이버억지 제시라는 것이 있다. 사이버 억지 제시는 완벽한 방화벽은 없다는 사실을 인정하고 다양하고 많은 방어 시스템을 구축하여 사이버 공격에 소요되는 비용은 늘리고 공격자가 얻는 이익은 줄이는 작전이다. 즉 사이버 공격자가 소프트웨어를 공격할만한 낌새를 보이면 사전에 관찰, 추적, 대응을 하여 사이버 공격자가 해킹을 하기 힘들게 만드는 전략이다.  또 다른 방법으로는 취약점을 제보받는 것이다. 제로데이 공격은 모두 프로그램의 취약점, 다시 말해 인간의 실수를 이용한 공격이다. 만일 자신이 사용하는 시스템에서 취약점을 찾았을 때 해당 시스템의 개발사에게 신고하면 취약점의 심각도에 따라 취약점을 보고받은 회사는 해당 취약점을 보고한 사람에게 감사의 의미로 사례하기도 한다. 심지어 apple은 취약점의 위험도에 따라 100,000$까지 사례를 한다고 한다.

apple의 취약점 제보 사이트