What is a Zero Day Exploit?

제로데이는 소프트웨어 제조업체가 아직 패치를 적용하지 않은 취약점을 노리는 공격입니다. 이러한 익스플로잇은 거의 알려지지 않은 취약점을 이용하기 때문에 성공 확률이 높으며 기존 사이버 보안 도구로는 방어가 어렵거나 불가능합니다.

Stop 제로데이 전자책

제로데이 취약성 및 익스플로잇

소프트웨어의 취약성은 몇 가지 다른 방법으로 발견할 수 있습니다. 소프트웨어 제조업체가 내부적으로 취약성을 발견하거나 외부 보안 연구원이 윤리적으로 보고하는 경우도 있습니다. 다른 경우에는 사이버 범죄자가 취약성을 발견하고 이를 악용하기도 합니다.

 

대부분의 제로데이 익스플로잇은 이 두 번째 범주에 속합니다. 이 경우 취약성이 먼저 공개적으로 악용되고 멀웨어 시그니처 또는 소프트웨어 업데이트의 형태로 표적 방어가 출시되기까지 시간이 걸립니다. 이 시기를 '제로 데이'라고 하며 제로 데이 취약성과 익스플로잇의 이름이 유래된 시기입니다.

제로 데이 익스플로잇의 예

제로 데이 취약성의 한 가지 예로 Microsoft Exchange 서버의 일련의 취약성을 들 수 있습니다. Microsoft가 처음에 이러한 취약점을 발견했지만 패치 주기가 느려 사이버 범죄자들이 이러한 취약점을 악용하기 시작했을 때 많은 Exchange 서버가 여전히 취약한 상태였습니다.

 

하프늄은 이러한 Exchange 취약점을 악용하는 멀웨어의 한 예입니다. 이러한 취약점을 악용하여 취약한 Exchange 서버에 액세스하고 시스템에 대한 권한을 상승시킵니다. 이 멀웨어는 정보 수집을 수행하여 악용된 시스템에서 사용자 자격 증명과 이메일을 훔치도록 설계되었습니다.

제로데이 익스플로잇의 보안 과제

제로데이 취약성과 익스플로잇은 방어가 어렵기 때문에 사이버 보안 담당자에게 중요한 관심사입니다. 제로 데이 익스플로잇의 보안 문제에는 다음과 같은 것들이 있습니다:

 

  • 시그니처 부족: 일부 침입 방지 시스템 (IPS)을 비롯한 많은 사이버 보안 솔루션은 멀웨어 및 기타 공격을 식별하고 차단하기 위해 시그니처에 의존합니다. 제로 데이 익스플로잇의 경우, 사이버 보안 연구자들이 아직 익스플로잇에 대한 시그니처를 개발하여 공개할 기회가 없었기 때문에 이러한 솔루션은 이 익스플로잇에 대해 맹목적으로 대응할 수 없습니다.
  • 느린 패치 개발: 제로데이 익스플로잇의 경우 취약성이 공개되면(즉, 이를 악용하는 공격이 야생에서 탐지되면) 패치 개발 프로세스가 시작됩니다. 취약성이 공개되면 소프트웨어 제조업체는 취약성을 파악하고 패치를 개발, 테스트 및 릴리스해야 취약한 시스템에 패치를 적용할 수 있습니다. 이 과정에서 보호되지 않은 모든 디바이스는 취약점을 이용한 익스플로잇에 취약합니다.
  • 느린 패치 배포: 패치가 생성된 후에도 기업이 취약한 소프트웨어에 패치를 적용하는 데는 시간이 걸립니다. 이 때문에 하프늄 멀웨어는 Microsoft에서 패치를 제공한 후에도 여전히 디바이스를 감염시킬 수 있습니다.

 

이러한 이유로 시그니처와 패치를 기반으로 하는 사이버 보안에 대한 사후 대응 방식은 제로데이 취약성 및 익스플로잇에 효과적이지 않습니다. 조직은 이러한 새로운 익스플로잇을 차단하기 위해 선제적으로 공격을 방지해야 합니다.

제로 데이 익스플로잇으로부터 보호하는 방법

제로 데이 익스플로잇의 경우, 조직이 직면하는 가장 큰 문제는 정보 부족입니다. 보안팀이 특정 위협에 대한 정보를 가지고 있는 경우 해당 위협을 차단하도록 보안 솔루션을 구성할 수 있습니다. 그러나 이러한 정보에 액세스하고 조직의 보안 아키텍처를 통해 이러한 정보를 배포하는 것은 많은 조직에게 큰 과제입니다.

 

효과적인 제로 데이 보호를 위해서는 다음과 같은 기능을 갖춘 보안 아키텍처가 필요합니다:

 

  • 통합: 많은 조직이 운영 및 유지 관리가 어려운 분산된 포인트 보안 솔루션 모음에 의존하고 있습니다. 보안 통합은 제로 데이 위협이 발견되면 조직의 전체 보안 아키텍처가 조율된 방식으로 이를 식별하고 대응할 수 있도록 보장합니다.
  • 위협 차단 엔진: 위협 차단 엔진은 일반적인 멀웨어의 특징과 공격 기법을 식별하도록 설계된 전문 탐지 솔루션입니다. 예를 들어, 위협 차단 엔진은 CPU 검사를 수행하여 ROP(반환 지향 프로그래밍)를 탐지하거나 알려진 멀웨어에서 재사용된 코드를 찾을 수 있습니다.
  • 위협 인텔리전스: 제로데이 익스플로잇에 맞서 싸우려면 정보가 매우 중요합니다. 고품질 위협 인텔리전스 소스에 액세스하면 조직은 다른 조직의 경험을 통해 학습하고 제로 데이 위협이 표적이 되기 전에 미리 알아낼 수 있습니다.

 

체크포인트의 예방 우선 접근 방식은 제로데이 익스플로잇과 같은 알려지지 않은 위협으로부터 효과적으로 보호할 수 있는 유일한 방법입니다. ThreatCloud AI는 세계 최대의 사이버 위협 인텔리전스 데이터베이스로, 하루 평균 860억 건의 트랜잭션을 처리합니다. 이를 통해 매일 약 7,000개의 이전에 알려지지 않은 위협을 식별하여 조직이 시스템에 대한 이러한 제로 데이 익스플로잇을 탐지하고 차단할 수 있습니다.

 

ThreatCloud AI는 인공 지능(AI)을 활용하여 데이터를 처리하고 위협을 탐지합니다. 제로데이 익스플로잇 탐지에서 AI의 중요성에 대해 자세히 알아보려면 이 백서를 확인하세요. 또한  데모에 등록하여 체크포인트의 지능형 엔드포인트 보호(AEP ) 솔루션이 제로 데이 위협으로부터 조직의 원격 인력을 보호하는 방법을 확인할 수 있습니다.

×
  피드백
이 웹사이트는 기능 및 분석, 마케팅 목적으로 쿠키를 사용합니다. 이 웹사이트를 계속 이용하면 쿠키 사용에 동의하는 것입니다. 자세한 내용은 쿠키 관련 공지사항을 참조하세요.