구글 “기업용 솔루션 대상 제로데이 취약점 공격 증가”

[아이티데일리] 지난해 발견된 제로데이 취약점 중 44%가 기업용 솔루션을 대상으로 한 것으로 나타났다. 특히 보안 및 네트워크 소프트웨어와 어플라이언스에 대한 공격이 두드러졌다.

구글 위협 인텔리전스 그룹(GTIG)는 30일 이 같은 내용이 포함된 ‘2024 제로데이 보고서’를 발표했다. 이 보고서에는 2024년 한 해간 GTIG 연구진이 조사한 다양한 제로데이(Zero-day) 공격에 대한 종합적 분석이 담겼다.

GTIG는 지난해 실제 공격에 이용된 제로데이 취약점 75건을 추적했다. 2023년(98건) 대비 감소했으나 2022년(63건)보다 높은 수치였다. GTIG 측은 “제로데이 공격이 전반적으로 증가하는 추세에서 예상 가능한 수준의 일시적 변화”라고 평가했다. 이어 “기업들이 제로데이 공격을 막기 위해 보안을 개선함에 따라 여러 분야에서 해당 공격 횟수가 줄었다”고 덧붙였다.

소폭 감소한 전체 분야와 달리 기업용 기술과 제품을 대상으로 한 제로데이 공격은 늘어나고 있다. 보고서에 따르면 제로데이 취약점 중 44%가 기업용 제품을 표적으로 삼았으며, 이는 2023년 37%에서 7%포인트(P) 증가한 수치였다.

특히 엔터프라이즈 기술을 노린 제로데이 공격 60% 이상이 보안 및 네트워크 취약점에 연관됐다. 지난해에는 이반티 커넥트 시큐어 VPN, 팔로알토 네트워크 ‘판-OS(PAN-OS)’, 시스코 어댑티브 시큐리티 어플라이언스 등이 주로 제로데이 공격에 악용됐다.

기업용 제품을 향한 공격은 엔드유저 기술에 비해 광범위한 시스템과 네트워크를 효과적으로 침해할 수 있어 공격자들이 더욱 집중할 것으로 GTIG 측은 예상했다.

아울러 제로데이 공격을 주도하는 이들은 사이버 스파이였다. 국가 지원을 받는 공격자 그룹과 상업용 감시 소프트웨어 업체(CSV) 고객 중 스파이 활동을 수행한 공격자가 지난해 전체 위약점 50% 이상을 차지했다. 중국 배후 그룹(PRC)은 제로데이 취약점 5개를 악용했고, 정부 및 정보기관에 감시 기술을 판매하는 CSV는 8개의 제로데이 취약점으로 공격 활동을 벌였다.

사상 처음으로 북한 공격자가 중국 배후 그룹과 같은 수준의 제로데이 공격(5건)을 수행한 사실도 파악됐다. 이들은 스파이 활동과 금전적 목적의 작전을 병행한 것으로 나타났다. 특히 북한 공격자들은 여러 그룹이 같은 표적을 대상으로 삼거나 서로 전술과 도구를 공유하며, 정보 수집을 위한 스파이 활동과 정권 자금 조달 목표를 동시에 추구하는 특징을 보였다.

GTIG 케이시 셰리어(Casey Charrier) 선임 애널리스트 “제로데이 공격은 이제 엔터프라이즈 제품을 겨냥하는 방향으로 진화하고 있기에 더 다양하고 광범위한 업체들이 선제적인 보안 조치를 강화해야 한다”며 “제로데이 공격 결과는 궁극적으로 공격자의 목표와 추구에 대응하는 기업 내 의사결정과 역량에 의해 좌우될 것”이라고 조언했다.