DevSecOps 팀에게 해커들의 제로데이 공격은 늘 시한폭탄 같은 존재입니다. 특히 조직의 클라우드 시스템의 보안 상태를 와해시킬 수 있기에 제로데이 공격에 대해 항상 대비하고 있어야 합니다. 제로 데이 공격이란 무엇이며 어떻게 공격이 이뤄지고, 무엇을 대비해야 하는지 낱낱이 파헤쳐보겠습니다.
제로데이 공격이란?
클라우드 애플리케이션 상의 알려지지 않은 취약점은 해커들의 타겟이 됩니다. 이를 통한 공격이 발생하면 조직은 공격에 대응할 시간이 충분치 않아 ‘제로데이 공격’이라고 불립니다. 이런 공격은 클라우드 네이티브 플랫폼에서 주로 발생합니다.발견되지 않은 보안 약점을 통해 조직의 네트워크 인프라에 침입하는 진입 지점으로 사용이 되며, 스텔스 성격이 짙은 이런 공격형태는 성공확률이 매우 높습니다.
공격자들은 웹 브라우저나 이메일 첨부파일의 취약점을 활용합니다. 시스템 상의 이런 의도치 않은 틈새를 발견되기 쉽지 않고, 공격자들은 시스템 안에서 몇일, 몇달, 몇년씩 그림자 속에 숨어있도록 조작하기도 합니다. 이런 방식으로 제한없이, 모니터링 및 필터 되지 않은채 시스템에 대한 접근이 가능해집니다. 더 심각한 경우에는 사용자에 영향을 미치기도 합니다. 최근의 제로데이 공격은 페이스북에 연결된 자격증명을 이용하여 세일즈포스의 취약점을 공격하였습니다.
제로데이 공격 방식
알려지지 않은 취약점을 활용하거나, 악성 코드로 생성된 멀웨어가 시스템의 약점을 통해 유입되고, 실행되면서 시스템을 침투합니다. 대표적인 사례로 데이터 유출, 랜섬웨어 배포 등의 심각한 위협이 있습니다. 가장 손쉬운 방법은 첨부문서 혹은 링크가 있는 피싱 이메일입니다.문제는 클라우드 네이티브 앱의 경우, 공격표면이 더욱 넓다는 점입니다. 클라우드 보안의 약한 고리와 피해 리포트를 주기적으로 준비하는데 미진하기 때문에 이런 제로데이 공격에 노출됩니다.
제로데이 공격의 피해
- 중요한 데이터 유실. 민감한 정보, 고객 데이터, 독점 기밀이 사라집니다. 중요한 데이터의 백업이 필수입니다.
- 신뢰 하락. 신뢰는 수년에 걸쳐 쌓아야 하지만, 한번의 실수로 한순간에 무너집니다. 기업의 보안 수준에 대해 고객의 신뢰를 잃는 것은 비즈니스에 큰 영향을 미칩니다.
- 리소스 유출. 취약점 엔지니어링 자원이 혁신에서 단순대응의 불끄기로 전락하게 됩니다. 제로데이 공격은 구멍을 막기만 해서는 제대로 대처할 수 없습니다.
- API 해킹. API 해킹을 통해 모든 시스템이 건강하고 정상 운영중이라고 API 시스템을 속일 수 있습니다. 또는 rootkit의 커스텀 코드를 가로채서 멀웨어를 화이트리스트로 변환하고 표면에 드러나지 않도록 숨길 수 있습니다. 그래서 API 엔드 포인트를 계획할 때 테스트, 컨테이너 보안, CI/CD 파이프라인의 건강한 배포 등에 대해 높은 주의가 필요합니다.
DevSecOps와 제로데이 공격
DevSecOps에게 있어서 제로데이 공격은 매우 심각한 위협입니다. 해커의 공격에 미처 개발자가 대응하지 못하고 방어가 불가능하게 만듭니다. 제로데이 공격에 대해 개발팀과 보안팀은 방어를 준비할 수 있는 시간이 거의 없습니다. 해커는 이런 점을 악용하여 시스템 내에서 수평 이동을 하며 피해를 확대합니다.
2016년, 민주당 전국위원회(DNC)가 해킹되어 6개의 제로데이 취약점 악용 사건이 있었으며, Adobe 제품에서 135개의 취약점이 보고되기도 했었습니다. 2017년에는 마이크로소프트 제품이 취약점에 노출되었다는 보고서가 76회 등장했고, 2019년 제로데이 공격이 발견된 모든 악성코드가 50%를 차지했습니다. 2024년에는 매일 1개의 제로데이 취약점이 발견될 것으로 예상되고 있으며, 40%이상의 기업이 제로트러스트 보안 패러다임을 채택할 것으로 예측되고 있습니다.
이런 타임라인은 최근 몇년간 제로데이 공격의 빈도와 영향력이 증가하고 있음을 보여주며, 이에 대응하기 위한 제로트러스트와 클라우드 네이티브 애플리케이션 보호 플랫폼 (CNAPP)과 같은 새로운 보안 조치의 채택이 중요하고 증가하고 있음을 나타냅니다.
제로데이 위협 탐지 기술
제로데이 공격의 눈에 띄지 않는 속성으로 인해 파악하기가 매우 어렵습니다. 아래의 방법들을 통해 감지 역량을 강화할 수 있습니다.
- 통계 활용: 머신러닝, 과거 공격에서 수집한 데이터를 활용해야 합니다. 실시간 모니터링은 안전한 행위에 대한 기본을 마련해 줄 수 있지만 이런 접근방식들이 진화하는 공격에 대응할 수 있도록 지속적인 프로파일 업데이트가 필요합니다.
- 행위 기반: 악의적인 행동을 구분하기 위해 사용자와 소프트웨어간의 상호작용을 분석합니다. 이를 통해 네트워크 트래픽을 예측하고, 비정상적인 행위에 대해 학습할 수 있습니다.
- 시그니처 분석: 전통적인 프로세스는 로컬 파일을 멀웨어 시크니처가 포함된 파일과 비교하도록 되어 있습니다. 이런 방법을 통해 이미 알려진 위협을 파악할 수는 있지만, 지속적으로 새로운 제로데이 공격을 파악해야 합니다.
제로데이 공격 대비방안
코드 취약점 보안을 강화하기 위해서 모든 부문에 대한 보안이 필요합니다. CSPM과 CWPP을 에이전트리스 모듈로 제공하는 CNAPP 솔루션의 도입은 고려해볼만한 방법입니다.
- 브라우저 격리는 코드 실행을 분리하여 서핑 과정에서 최종 사용자의 장비와 네트워크를 잠재적 위협으로부터 보호할 수 있습니다.
- 원격 브라우저 격리는 웹사이트를 통해 외부 클라우드 서버에서 코드가 로드되고 실행될 때 유용합니다
- 온프레미스 브라우저 격리는 원격 격리와 유사하지만 내부에서 관리되는 서버에서 실행됩니다.
- 클라이언트측 브라우저 격리는 샌드박스로 사용자의 장비가 코드와 컨텐츠로부터 분리되도록 보장합니다.
- 방화벽은 중요한 보안 시스템으로 선 정의된 정책에 의한 입/출 트래픽을 모니터링하고 네트워크와 데이터를 보호합니다.
결론
DevSecOps에서 제ㄱ로데이 공격을 발견하고 피하는 방법은 현대화된 도구와 행위 분석을 요구합니다. 강력한 보안은 통계 기반, 시그니처 기반, 행위 기반과 같은 방법들을 활용하여야 합니다. 브라우저 격리와 방화벽도 유용한 보안 방법입니다. 가장 이상적인 시스템은 취약점 발견, 인풋 검증, 보안 계획, 패치 관리, 비즈니스 인프라 보안과 스팸/멀웨어 보호를 포함해야 합니다. DevSecOps팀은 이런 기술들로 인한 비용 손실을 줄이면서 고객이 피로감을 느끼지 않도록 노력해야 합니다.
