보안 동향/보안 기술 및 지식

제로데이(0-Day, Zero-Day) 공격

rinaisme 2024. 7. 10. 03:59

1. 제로데이 공격

  • 제로데이란 신규 사이버보안 위협이 생성되고 난 후, 해당 위협을 탐지하거나 대응할 수 있는 정보가 나올 때까지의 보안 공백 기간을 의미함
  • 제로데이의 특성을 이용해 대응 기술이나, 보안 패치가 제공되기 전 이뤄짐
  • 아직 미해결 분야로 남아있는 사이버 보안의 마지막 문제점임
  • 탐지 규칙이 제공되기 전에 이뤄지는 공격이기에, 침투에 대한 대처 방법이 없고 이로 인한 데이터 유출 등에 대응이 불가능하여 피해 최소화가 유일한 대응 방법임

2. 악용 사례 (Log4 j 사례 분석)

  • 2021년 12월에 발생한 Log4 j 취약점은 보안 역사상 최악의 취약점임
  • CVSS (Common Vulnerabilities Scoring System) 취약점 등급은 10
  • Log4 Shell 제로데이 RCE(Remote Code Execution, 원격 코드 실행) 취약점 (시스템의 결함, 해커만 알고 있는 경우)
  • Log4 Sehll은 알리바바 보안팀에 의해 첫 발견
  • 원격 코드는 해커의 컴퓨터에서 원격으로 돌릴 수 있단 의미
  • 이 이유는 Log4J때문
  • Log4J는 JAVA가 쓰이는 곳에서 자주 쓰이는 패키지임
  • 회사는 서버에서 일어나는 모든 일을 로그로 기록함. 이러한 로그 파일 기록을 Log4J가 도와줌. (로그 기록의 프레임워크) 
  • 유저가 작성하는 데이터는 신뢰할 수 없는 기록으로 백엔드에서 실행하지 않음
  • 만약, 유저의 데이터를 신뢰하게 되면 누구든 코드를 서버에서 실행시킬 수 있음
  • 유저 입력을 코드로 실행시키는 것은 SQL Injection이란 해킹이 만들어진 취약점이기도 했음
  • Log4J엔 'Lookups'란 기능이 존재함. (어느 정도 유저의 입력을 신뢰함)
  • 공격자가 서버에 요청을 보내면 (Request) -> 그리고 요청에 이와 같은 string (문자열) 이 존재한다면, Log4J는 이것을 로그에 넣고 동시에 해당 URL을 불러옴
  • 문제는 해당 URL이 공격자의 것일 수 있는 것임
  • 공격받는 서버는, 그 URL만 부르는 것이 아닌 해당 URL에 호스팅 되어 있는 코드가 해당 공격받는 서버에서 실행될 수도 있는 것

3. 제로데이 공격 대응 (Threat Hunting)

  • 잠재적 보안사고의 최소화를 위해 보안 책임자에게 일일 보안 업무 보고 결재 시에 잠재적 제로데이 침투 여부도 보고할 수 있어야 함
  • 미탐지 된 보안 위협 침투는 Threat Hunting을 통해 능동적으로 대응
  • 기준의 보안 체계를 우회하는 위협을 탐지하고 격리하기 위하여 네트워크를 능동적이고 반복적으로 검색하는 프로세스
  • 잠재적인 위협이나 침해사고가 발생한 후에 조사/분석을 하는 기존 위협 관리시스템 (방화벽, IDS, SIEM 등)과 차별화
  • 기존의 위협 관리 시스템: 위협 차단 (Prevention)
    • 모든 것을 막을 수 있다.
    • 알려진 위협에 대한 관리
    • 방어 & 사후 분석
  • 사이버 위협 헌팅 (Cyber Threat Hunting): 피해 최소화(Detection & Response)
    • 모든 위협을 차단할 수는 없다.
    • 차단되지 않은 위협에 대한 관리
    • 탐지/분석/추적 후 대응
  • 기존의 도구에 의한 탐색은 회피한 위협을 탐색하는 적극적인 보안 탐색으로 수동적인 접근을 하는 Cyber detection과 다름
  • 아직 탐지되지 않은 것을 찾음, 이미 위협은 침투되었을 것이라고 가정함
  • 포렌식 분석과 위협 추적을 위한 과거 이벤트 분석을 위해 몇 주 이상의 저장된 패킷을 검사/분석
  • 현재는 이상행위탐지를 통해 모니터링 (APT, EDR, NDR)을 진행하고 있음
    • 그러나 정확도에 대한 보장이 안됨
    • 제로데이 침투에 대한 한계

4. 이상적인 제로데이 공격 대응: To-Be(Divide and Conquer)

  • 정확한 보안사각 문제 영역의 구분과 적합한 기술 적용을 통한 보안의 사각지대 최소화
  • a. 이상적인 보안 대응 절차
    • 알려진 TI를 기반으로 실시간 침투를 방어 (Firewall, Vaccine, SOAR 등)
    • 신규 TI가 나오면 빨리 적용하여 침투 방어의 공백 최소화 (미약)
    • 과거 트래픽의 재검사를 통해 제로데이 침투를 검출하여 대응 (미약)
    • 아직 TI가 없는 보안 위협을 이상행위탐지를 통해 모니터링 (APT/EDR/NDR)

'보안 동향 > 보안 기술 및 지식' 카테고리의 다른 글

2024년 크라우드스트라이크발 전산 마비 사태  (6) 2024.07.24
CSAP (클라우드 보안 인증)  (0) 2024.07.16

'보안 동향/보안 기술 및 지식'의 다른글

  • 현재글제로데이(0-Day, Zero-Day) 공격

관련글

티스토리툴바