마이크로소프트 인텔리전스 센터는 세 가지 VMware 제로데이 취약점을 보고했습니다. 브로드컴은 자사 고객이 해당 취약점을 악용당했다고 밝혔으며, 취약점 코드는 CVE-2025-22224, CVE-2025-22225, CVE-2025-22226입니다. 이 취약점은 워크스테이션, 텔코 클라우드 패턴, vSphere, VMware ESXi, 클라우드 파운데이션, 퓨전 등 VMware ESX 제품군에 영향을 미쳤습니다. VCMI 힙 오버플로우, HGFS 정보 유출 결함, VMX 프로세스 메모리 누수가 발생했습니다.
파라곤 파티션 매니저(Paragon Partition Manager)의 BioNTdrv.sys 드라이버도 최근 랜섬웨어 제로데이 공격의 표적이 되었습니다. 임의 커널 메모리 매핑, 쓰기, 메모리 이동에 취약하여 장치 드라이버가 없는 시스템에 대한 '취약한 드라이버를 가져오기(Bring Your Vulnerable Driver)' 공격의 길을 열었습니다. 미국 재무부를 대상으로 한 제로데이 공격은 PostgreSQL의 치명적 버그와 연관되어 있었습니다.
제로데이 공격은 데이터 유출을 넘어 파괴적인 결과를 초래하는 문제로 부상하고 있습니다. 본 가이드에서는 제로데이 취약점을 탐구합니다. 제로데이 공격을 예방하고 완화하는 방법을 배워보겠습니다.
제로데이 공격이란 무엇인가요?
제로데이 공격은 해커가 애플리케이션 코드에서 발견한 취약점이나 결함, 또는 악용할 수 있는 기타 기회를 의미합니다. 제로데이 공격은 컴퓨터 하드웨어, 소프트웨어, 펌웨어의 해결되지 않았거나 알려지지 않은 보안 결함을 최대한 악용합니다. 공급업체가 보안 문제를 수정할 시간이 전혀 없기 때문에 제로데이 공격이라 불립니다. 악의적인 행위자들은 이러한 취약점을 즉시 악용하여 취약한 시스템에 접근할 수 있습니다.
소프트웨어 개발자는 이러한 취약점에 대한 패치를 배포하고 프로그램을 업데이트해야 합니다. 그러나 그때쯤이면 피해는 이미 발생했으며, 이를 막기에는 너무 늦습니다. 제로데이 공격은 악성코드를 심거나 데이터를 훔칠 수 있으며, 심지어 사람을 죽일 수도 있습니다. 이는 사용자, 조직, 시스템에 큰 위험을 초래하고 혼란을 야기할 수 있습니다. 제로데이 공격은 바이러스, 악성코드, 랜섬 공격 또는 기존 시그니처 기반 탐지 기술을 회피하는 탐지 불가능한 위협일 수 있습니다.
제로데이 취약점은 공격 범위가 엄청나게 넓기 때문에 심각한 위험을 초래할 수 있습니다. 공급업체나 커뮤니티가 문제를 파악하고 수정할 때까지 전체 조직과 수천 명의 사용자가 사이버 범죄에 노출될 수 있습니다. 일부 제로데이 취약점은 며칠, 몇 달, 심지어 몇 년 동안 발견되지 않을 수 있으므로, 개발자들은 이들이 공개적으로 알려졌을 때 대응하고 해결할 충분한 시간을 갖지 못합니다.&
해커들이 공급업체가 패치를 적용하기 전에 이러한 결함을 악용할 때 조직들은 당황하게 됩니다. 이는 시간과의 싸움입니다. 해커들이 실행 가능한 제로데이 공격을 개발하면 대규모 공격을 시작할 수 있습니다.
제로데이 공격이 왜 위험한가?
제로데이 공격은 어떤 위협에 직면했는지 알 수 없기 때문에 위험합니다. 피해 규모는 예측 불가능하며, 금전적 손실, 기업 평판 훼손, 신속한 탐지나 수리가 불가능한 추가적인 취약점 생성 등 수많은 잠재적 위험이 도사리고 있습니다.
이렇게 생각해 보세요. 가라테 초보자로 흰띠인 당신이 눈가리개를 한 채 검은띠와 맞서 싸워야 한다고 상상해 보세요. 가장 큰 문제는 무술 실력조차 없다는 점입니다. 따라서 여기서 패배할 확률은 엄청나게 높습니다. 유일한 탈출구는 상황을 벗어나 카운터 방어 전략을 세워 다시는 검은 띠를 만나지 않도록 하는 것입니다.
제로데이 공격은 코딩 및 설계 관행의 결함에서도 비롯될 수 있습니다. 기존의 보안 취약점은 제때 패치를 적용하여 애플리케이션을 안전하게 보호할 수 있지만, 제로데이 취약점은 다릅니다. 시스템을 패치하기 위한 시간을 확보할 여유가 없습니다. 이러한 취약점에 대한 해결책은 존재하지 않습니다. 이는 새로운 패치와 보안 솔루션을 개발해야 함을 의미합니다.
고위험 제로데이 공격은 대상과 플랫폼에 따라 50만 달러에서 200만 달러에 이르는 손실을 초래할 수 있습니다.
제로데이 공격은 어떻게 작동하나요?
제로데이 공격의 작동 방식은 간단히 다음과 같습니다:
- 소프트웨어 코드에 취약점이 존재하지만, 공급업체와 대중은 이를 인지하지 못합니다. 결국 해커가 자동화 도구와 테스트를 통해 이를 발견합니다.
- 그런 다음 공격자는 이 코드를 악용하여 취약점을 이용합니다. 악성 변종을 만들어 웹 서비스나 앱에 주입하여 오작동을 일으킵니다.
- 이를 통해 공격자는 무단 접근 권한을 획득할 수 있습니다. 피해는 여기서 시작되어 서서히 확대됩니다.
- 공급업체가 문제를 발견하면 신속한 해결을 시도할 것입니다. 사용자와 조직은 추가적인 악용을 방지하고 침해를 막기 위해 취약점에 대한 패치를 적용해야 합니다.
제로데이 공격을 탐지하는 방법?
제로데이 공격은 프로그램과 애플리케이션의 보안 취약점을 이용합니다. 공격자는 소스 코드의 취약점을 찾아 악성 코드를 생성하여 데이터베이스에 주입할 수 있습니다.
제로데이 공격을 탐지하는 것은 간단하지 않으며, 어렵고 복잡할 수 있습니다. 취약점을 파악하려면 사전 정의된 상관관계 규칙을 설정하고 인프라 내 기존 데이터를 분석해야 합니다. 이러한 위협을 탐지하는 또 다른 방법은 내부자의 움직임을 추적하는 것입니다.
지속적인 위협 탐지, 로깅 및 모니터링 기술을 사용하여 사용자 활동을 검토하십시오. 조직의 로그 활동은 현재 상황을 파악하는 데 도움이 되며, 통합 대시보드는 전략적 보안 인사이트를 제공할 수 있습니다.
제로데이 공격 방지 및 완화
신뢰할 수 있는 위협 인텔리전스 솔루션과 SIEM를 배포하는 것은 원격 측정 데이터를 수집하고 보안 이벤트를 분석하는 데 필수적입니다. 이러한 솔루션은 다양한 출처에서 발생하는 여러 데이터 유형을 식별하고 편차가 감지될 때마다 실시간 경보를 생성할 수 있어야 합니다. 보안 담당자와 함께 이러한 이상값을 신속히 조사하여 무단 접근을 차단할 수 있습니다. 이러한 조치에 선제적 위협 사냥 활동을 보완하십시오. 고급 분석을 활용하여 잠재적인 침해 지표(IoCs)를 탐색하고 상세 조사를 수행하십시오. 이러한 모든 전략은 사고 대응 워크플로우를 간소화하고 작업에 적합한 도구를 선택하는 데도 도움이 됩니다. SentinelOne은 탐지 시 대응 조치 자동화, 정책 맞춤 설정, 경고 발령, 감염된 호스트 또는 위협의 즉각적 격리 또는 차단에 도움을 줍니다. 또한 악성 IP 자동 차단, 데이터 백업, 향후 보안 사건의 영향 최소화에도 기여합니다. 다음과 같은 추가 조치를 통해 제로데이 공격을 예방하고 완화할 수도 있습니다: 2025년에 발생한 제로데이 공격의 실제 사례 몇 가지를 소개합니다: 마이크로소프트는 제로데이가 여러 공격 경로를 동시에 노릴 것이라고 예상하지 못했습니다. Immersive의 수석 이사 케빈 브린은 "우리는 그것이 가능할 거라고 생각하지 않았습니다. 제로데이는 일반적으로 단일 플랫폼이나 운영 체제 환경을 표적으로 삼습니다"라고 말했습니다. 2025년 2월, 마이크로소프트는 최신 패치에서 67개의 취약점에 대한 보안 업데이트를 발표하고 배포했습니다. 그러나 이미 네 개의 제로데이 취약점이 윈도우 NTLMv2 해시, 윈도우 보조 기능 드라이버, 윈도우 스토리지, 마이크로소프트 서피스 기기에 영향을 미쳤습니다. 원격 코드 실행과 권한 상승이 주요 보안 위협이었습니다. 세 개의 새로운 취약점이 하이퍼-V에 영향을 미쳤습니다: CVE-2025-21335, CVE-2025-21333, CVE-2025-21334. JetBrains는 2023년 9월 20일 CVE-2023-42793 취약점을 인지하고 공개했습니다. 이 인증 우회 취약점은 CI/CD 서버 및 온프레미스 인스턴스를 대상으로 했습니다. 공격자는 무단 접근 권한을 획득하고 원격 코드 실행 공격을 수행했습니다. 이 중대한 인증 우회 결함은 노출된 지 불과 며칠 만에 발견되어 즉각적인 복구 시간이 전혀 없었습니다. 러시아 해커 그룹이 SQL 인젝션 취약점을 탐색하던 중 MOVEit Transfer의 제로데이 취약점을 발견했습니다. 해당 그룹은 이후 여러 대학, 의료 네트워크, 은행, 정부 기관을 포함한 수백 개 조직을 대상으로 랜섬웨어 공격을 실행했습니다. human2.aspx 및 _human2.aspx 파일명의 LEMURLOOT 샘플이 전 세계 여러 공개 저장소에 업로드되었습니다. 이 공격은 확산되어 파키스탄과 독일 등 국가의 기관들까지 타격했습니다. SentinelOne은 고급 AI 알고리즘을 활용해 자원을 스캔하고 제로데이 위협, 심지어 알려지지 않은 위협까지 차단합니다. 해당 엔드포인트 탐지 및 대응(EDR) 플랫폼은 네트워크 및 사용자 활동을 심층적으로 분석하여 위협 탐지를 용이하게 합니다. SentinelOne은 엔드포인트 보호 기능을 Singularity XDR로 확장할 수 있습니다. Singularity™ 위협 인텔리전스 데이터 레이크 및 퍼플 AI를 통해 를 통해 다양한 출처의 데이터를 수집하고 상호 연관성을 분석할 수 있습니다. SentinelOne의 행동 기반 엔진은 기업 전반에 걸쳐 악성 행위를 탐지하고 추적합니다. 의심스러운 활동이나 이상 징후가 발생하면 즉시 검토 및 조치를 위해 표시합니다. SentinelOne의 위협 인텔리전스 내 컨텍스트 인식 기능은 오탐을 제거하고, 불필요한 경보를 줄이며, 조직이 가장 관련성 높은 알림을 최신 상태로 유지할 수 있도록 합니다. SentinelOne은 Offensive Security Engine™ 및 Verified Exploit Paths™를 통해 제로데이 공격을 시뮬레이션하여 가능성을 탐색할 수 있습니다. 특허받은 스토리라인™ 기술은 과거 사건과 증거를 재구성하고 사이버 포렌식 분석을 수행합니다. 사용자는 통합 대시보드에서 직접 상세한 시스템 및 규정 준수 보고서를 생성할 수 있습니다. 센티넬원은 규정 준수 감사를 간소화하고 SOC 2, HIPAA, PCI-DSS, ISO 27001과 같은 최고 수준의 규제 기준을 준수하도록 지원합니다. 이 솔루션은 유용한 통찰력을 공유하는 업계 전문가 및 사용자들로 구성된 강력한 커뮤니티의 지원을 받습니다. SentinelOne의 에이전트 없는 CNAPP 은 종합적인 보안을 제공하며 다음과 같은 다양한 기능을 제공합니다: Kubernetes 보안 상태 관리 (KSPM), 클라우드 워크로드 보호 플랫폼 (CWPP), 클라우드 보안 상태 관리 (CSPM), IaC 스캐닝, SaaS 보안 상태 관리 (SSPM), 비밀 정보 탐지 및 클라우드 자격 증명 유출 방지, 외부 공격 및 표면 관리 (EASM), 취약점 평가, CI/CD 파이프라인 스캐닝, Snyk 통합 등을 제공합니다. 이 플랫폼은 사용자가 조직 내에서 최고의 DevSecOps 관행을 구현하고 내부 및 외부 감사를 수행할 수 있도록 지원합니다. 제로데이 공격은 막을 수 없는 것처럼 보이지만, 이는 진화하는 사이버 세계에 대한 더 깊은 현실을 드러냅니다: 우리는 발견된 모든 취약점을 형성하고, 그 취약점에 의해 형성됩니다. 진정한 회복탄력성은 최고의 기술을 사용하는 데서 비롯되는 것이 아니라 안일한 사고방식을 버리는 능력에서 비롯됩니다. 해커들은 소프트웨어뿐만 아니라 사람도 노리기 때문입니다. 기능 간 협력을 통해, 엄격한 테스트를 적용하고, 끊임없이 정보를 수집함으로써, 제로데이 공격이 혼란의 전조가 아닌 자극제가 되는 디지털 생태계를 구축할 수 있습니다. 선제적 방어에 투자하고, 사이버 보안 인식 문화를 조성하며, 지금 바로 보안 강화에 나서십시오. 최전선에서 방어하기 위해 SentinelOne에 문의하십시오.
제로데이 공격의 실제 사례
마이크로소프트 제로데이 사이버 공격
JetBrains TeamCity 인증 제로데이 우회
MOVEit Transfer의 제로데이 위협
SentinelOne으로 제로데이 공격 완화하기
결론
FAQs
제로데이 공격은 개발자가 패치를 배포하기 전에 새로 발견된 소프트웨어 취약점을 악용합니다. 공격자는 이러한 보안 결함을 발견하고 취약점이 존재하는 짧은 시간 내에 악성코드나 해킹 방법을 만듭니다.
방어 측이 대응할 시간이 전혀 없기 때문에 피해는 극도로 빠르게 확산되어 중요한 시스템을 감염시키고, 데이터를 훔치거나, 즉시 발견되지 않은 채 전체 네트워크를 감염시킬 수 있습니다.
"벤더와 연구원들은 취약점을 패치하기 위한 경고가 필요합니다. '제로데이' 공격은 시계가 0을 가리킬 때 발생합니다. 공격자는 패치가 제공되거나 시간이 지나기 전에 취약점을 악용하여 공급업체가 패치를 적용하거나 대비할 시간이 '제로 데이'밖에 남지 않게 합니다. 이 짧은 시간 제약은 기업을 딜레마에 빠뜨리며 이러한 위협에 대처할 필요성을 강조합니다.
"보안 연구원, 화이트햇 해커부터 사이버 범죄자에 이르기까지 누구나 제로데이 취약점을 발견할 수 있습니다. 윤리적인 연구자들은 일반적으로 패치를 배포할 수 있도록 공급업체에 알리는 반면, 위협 행위자들은 취약점을 자신들의 이익을 위해 악용합니다.
정부 기관들도 버그 사냥 노력을 지원하며, 그들의 발견은 때때로 공개되지 않아 간첩 활동이나 스파이 활동을 위한 은밀한 사용에 대한 추측을 불러일으킵니다.
"제로데이 시장은 중개업체가 연구자나 해커로부터 악용 코드를 구매할 수 있는 상업적 거래소입니다. 보안 취약점을 사고팔며 불법 활동을 수행하는 곳으로, 사이버 보안 세계의 어두운 면이자 주의해야 할 대상입니다. 거래에 투명성이 부족하며 가격이 불공정해 보일 수 있습니다.
"제로데이 공격의 예방과 발견은 보안 팀의 경계와 이상 탐지 도구에 달려 있습니다. 비정상적인 행동 패턴, 의심스러운 데이터 트래픽 또는 사용자 불만은 조사를 촉발할 수 있습니다.
보안 전문가들은 샌드박싱, 허니팟 및 고급 모니터링 솔루션을 배포하여 악성 활동을 실시간으로 포착합니다. 때로는 정기 감사 중 우연히 발견된 제로데이 취약점이 드러나기도 합니다. 이를 벤더에 공개하면 중대한 피해가 발생하기 전에 패치를 신속하게 개발하는 데 도움이 될 수 있습니다.
"대기업, 정부 기관, 금융 기관, 의료 서비스 제공업체가 제로데이 공격의 주요 표적입니다. 이들 기관은 민감한 데이터를 저장하고 핵심 인프라를 유지 관리하기 때문에, 간첩 행위, 파괴 행위 또는 금전적 이익을 위한 주요 표적이 됩니다.
중소기업과 개인 사용자도 예외는 아닙니다. 제로데이 공격은 운영체제부터 웹 애플리케이션까지 모든 분야에서 일반적으로 사용되는 소프트웨어를 통해 무차별적으로 확산될 수 있습니다.
"- 패치는 종종 공개되지 않은 취약점을 해결하므로 정기적인 소프트웨어 업데이트로 경계를 늦추지 마십시오.
- 가능한 경우 자동 업데이트를 활성화하십시오.
- 신뢰할 수 있는 안티바이러스 및 방화벽을 사용하여 의심스러운 활동을 모니터링하고 차단하세요.
- 강력한 비밀번호 관리 습관을 실천하고, 알 수 없는 링크를 클릭하거나 검증되지 않은 출처에서 파일을 다운로드하지 마세요.
또한 공용 Wi-Fi 네트워크에서는 VPN 사용을 고려하세요. 디지털 발자국을 줄이면 제로데이 공격의 피해자가 될 가능성을 낮출 수 있습니다.
"조직은 일반적으로 신속 대응 프로토콜을 시행합니다. 여기에는 영향을 받은 시스템을 격리하고 침해 지점을 정확히 파악하기 위한 포렌식 분석이 포함됩니다. 긴급 패치를 배포하거나 사용자에게 임시 해결 방법을 안내합니다. 사고 대응 팀은 보안 연구원과 협력하고 위협 정보를 공유하며 경계 방어 체계를 강화합니다. 정기적인 침투 테스트는 악의적인 행위자들이 발견하기 전에 취약점을 찾아내는 데 도움이 됩니다. 지속적인 직원 교육은 인식을 더욱 높여 제로데이 침입이 반복될 가능성을 최소화합니다.
"