구글위협분석그룹(TAG)이 맨디언트와 협업으로 ‘2023 구글 제로데이 리포트'를 발표했다. 보고서에 따르면, 2023년 보안 사각지대에서 악용된 제로데이 취약점은 97개로, 전년(62개)보다 50% 이상 증가했다.

제로데이 악용 공격은 2022년 다소 줄었지만 1년만에 다시 증가세로 반전했다. 이러한 증가의 배경으로는 기술의 진화와 함께 사이버공격자들이 제로데이 취약점 발굴에 리소스를 집중하고 있다는 점이 지적된다.

제로데이 취약점을 발견할 경우, 대응이 이뤄지기 이전에 공격을 수행해 더 확실한 결과를 얻을 수 있기 때문에 공격자는 발전된 기술을 활용해 제로데이 탐색에 시간과 자본을 투자하고 있는 것이다.

따라서 TAG는 공격자의 제로데이 취약점 발견·악용 속도는 지속적으로 높은 수준을 유지할 것으로 전망했다. 

TAG는 지난해 발견된 제로데이 취약점을 크게 ▲엔드유저 플랫폼과 제품 (모바일 디바이스, 운영 시스템, 브라우저, 기타 애플리케이션)에 영향을 미치는 취약점 ▲보안 소프트웨어·어플라이언스와 같은 기업 중심 기술을 겨냥한 취약점 등 2가지로 분류한다.

이 중 약 절반(48건)은 스파이 공격자의 소행이었으며 10건은 금전적 목적을 지닌 공격으로 분석된다. 나머지 36건은 보안 소프트웨어나 디바이스와 같은 기업 중심의 기술을 겨냥한 공격이 차지했다. 

기업 표적 공격은 전년대비 64% 증가한 수치로, 공격 대상이 되는 기업 전용 기술 공급업체도 2019년부터 지속적으로 증가하고 있음이 확인됐다.

특히 주목해야 할 부분은 제품의 퍼스트파티 코드보다 서드파티 구성 요소와 라이브러리에서 더 많은 버그가 발견되고, 이를 악용한 공격이 증가세를 보이고 있다는 점이다.

기업 표적 공격의 증가는 구글, 마이크로소프트(MS), 애플과 같은 엔드유저 플랫폼 벤더가 공격적 투자로 악용될 수 있는 제로데이 취약점의 숫자와 유형을 감소시키고 있는데 따른 결과로 풀이된다.

서드파티 구성 요소에 대한 공격 증가도 대형 퍼스트파티보다 상대적으로 보안 투자가 취약한 서드파티에 대한 공격자의 집중에 기인한 것으로 볼 수 있다. 

한편 ‘정부 지원을 받는 탈취 공격’도 다수 발견됐는데, 이러한 공격은 주로 중국 공격 그룹이 수행한 것으로 관측됐다. TAG에 따르면 중국 사이버 스파이 활동 그룹으로 추정되는 제로데이 취약점 공격은 총 12건으로, 2022년 7건에서 보다 5건이 증가했다. 

한편, 전체 제로데이 취약점 공격의 약 3분의 2를 차지하는 61건은 모바일 디바이스, 운영 시스템, 브라우저와 기타 애플리케이션 등을 포함한 엔드유저 플랫폼과 제품에 영향을 미치는 것으로 분석됐다. 

모바일 환경과 관련해 iOS 대상 제로데이 공격은 8건(전년도 4건), 안드로이드 대상 제로데이 공격은 9건(전년 3건)이 발견됐다. 사파리 브라우저와 크롬 브라우저를 비교하면, 지난해 크롬을 겨냥해 실제로 악용된 제로데이는 8건, 사파리 타깃 공격은 11건으로 조사됐다. 

TAG는 “제로데이 악용은 이제 소수의 공격자만이 접근할 수 있는 틈새가 아니”라며 “기술의 발전으로 제로데이 악용 가능성이 커졌고 공격자가 제로데이 취약점 발견에 집중하고 있는 만큼 취약점의 빠른 발견·대응을 위한 업계의 공조가 절실하다”고 강조했다.