2024년에 발견된 알려진 취약점 중 4분의 1(24%)이 CVE가 공개된 당일 또는 그 이전에 악용된 것으로 나타났다.

익스플로잇 및 취약점 전문 업체 벌앤체크(VulnCheck)의 연구에 따르면 작년에 처음으로 공개적으로 악용된 것으로 보고된 CVE는 768개로, 2023년에 처음으로 악용된 것으로 확인된 CVE 639개보다 20% 증가했다.

패치가 나오기 전에 취약점의 약 4분의 1이 공격당하지만, 보안 패치가 나온 후에도 상당수가 오랫동안 악용되고 있다. 취약점의 약 절반은 패치 후 192일 이내에 처음 악용되지만, 패치 후 수개월 또는 수년이 지나서 공격당하는 경우도 많다. 예를 들어, 3년에 가까운 1,000일이 지난 후에도 결국 악용되는 취약점의 약 75%만이 공격받는 것으로 나타났다.

벌앤체크의 연구는 보안 회사, 정부 기관, 섀도우 서버(Shadow Server) 같은 비영리 단체를 포함한 100곳의 데이터를 기반으로 했다.

취약점에 대한 투명성 향상

다양한 산업 분야의 출처에서 CVE 공개가 증가함에 따라 벌앤체크 연구의 연차별 판본 사이에 기록된 취약성 악용 사례의 증가를 부분적으로 설명할 수 있다.

벌앤체크에 따르면 보고된 증가율은 부분적으로 악용 사례의 증가와 더 많은 데이터 소스의 결합에 기인한다. 더 많은 기업, 업체, 보안 연구팀이 악용 사례를 보고하고 공개적으로 증거를 공개하고 있기 때문에 악용 사례와 관련된 가시성이 더 높아졌다.

버그크라우드(Bugcrowd)의 기술 프로그램 관리자 마티아스 헬드도 “기업이 사이버보안의 책임을 점점 더 인식하고 있기 때문에 취약점에 대한 투명성이 높아지고 있다. 공개적으로 공개된 CVE의 양이 이 추세에 기여하고 있는 것은 분명하며, 악용 가능한 시스템에 대한 실제 영향을 더 정확하게 나타낼 수 있다”라고 같은 추세를 언급했다.

워드프레스에 대한 공격에 대한 수치는 벌앤체크 연구의 중요한 부분이기 때문에, 워드프레스 공개는 벌앤체크 연구의 구성 요소다. 워드프레스는 웹사이트의 약 40%를 구동하고 있기 때문에 주요 공격 대상이다. 헬드는 벌앤체크의 연간 공격 건수가 증가할 가능성이 높다고 말했다.

헬드는 “워드프레스 취약 버전에서 실행되는 웹 앱의 쉬운 공격 가능성으로 인해 취약점 수가 증가할 것”이라고 말했다.

또한, 더 많은 기업이 CVE(CVE 번호 관리 기관)로 변모하고 있다. CVE를 발행하는 기관이 늘어나면서 CVE의 발행 빈도는 시간이 지남에 따라 자연스럽게 증가할 것이다.

헬드는 “이 데이터는 포괄적인 위협 인텔리전스 공유 이니셔티브와 실시간 공격 완화 노력을 포함해 모든 기업에서 강력한 취약성 관리 전략을 우선시해야 한다는 것을 상기시켜 주는 역할을 한다”라고 결론지었다.

사전 예방적 보안 사례 구축의 중요성

소프트웨어 구성 분석 회사인 블랙 덕(Black Duck)의 선임 보안 엔지니어 보리스 치폿은 취약점 악용이 증가하는 데는 여러 가지 요인이 기여하고 있으며, 그 중에는 모니터링 개선도 포함된다고 말했다.

치폿은 “우리가 사용하는 소프트웨어가 단순히 더 많은 취약점을 포함하고 있거나, 이러한 취약점이 더 효과적으로 보고되고 발견되고 있을 수 있다. 일부 취약점은 오랫동안 패치되지 않은 상태로 남아 있어 공격자들이 이를 악용할 수 있는 시간이 더 많아진다”라고 말했다.

취약점의 악용은 그 원인에 관계없이 사전 예방적 보안 조치의 필요성을 강조한다.

치폿은 “기업은 환경을 모니터링하고 의심스러운 활동을 감지하는 가시성 도구에 투자해야 한다. 제로 트러스트 접근 방식을 채택하면 액세스를 제한하고 위험을 줄임으로써 보안을 더욱 강화할 수 있다”라고 조언했다.

어큐민 사이버(Acumen Cyber)의 CTO 케빈 로버트슨은 이 연구가 기업이 패치를 적용하는 데 필요한 기간이 얼마나 짧아지고 있는지를 강조한다고 말했다.

로버트슨은 이번 조사 결과가 적극적으로 악용되는 취약점이 증가하고 있다는 것을 보여주고 있지만, 이러한 추세는 서드파티 소프트웨어에 대한 의존도가 높아짐에 따라 발생했을 가능성이 크다고 말했다. 현대 기업은 서드파티 애플리케이션과 서비스에 크게 의존하고 있기 때문에 잠재적인 공격 서피스가 확대되고 있다.

로버트슨은 “기업이 서드파티 소프트웨어를 점점 더 환경에 통합함에 따라, 사전 예방적 취약점 관리가 보안 전략에 포함되어야 한다”라고 조언했다.

원인은 버그가 아니라 손상된 자격 증명

보안업체 래피드7(Rapid7)은 보안 침해의 훨씬 더 큰 요인은 손상된 자격 증명이라고 주장하며 2024년 취약점 악용이 초기 액세스 벡터로서 해마다 감소하고 있다고 밝혔다. 사회 공학이 급증하고 보안 통제가 취약하거나 부재한 원격 시스템을 해킹하기 위해 유출된 자격 증명을 악용하는 사례가 증가하고 있기 때문이다.

래피드7의 취약점 인텔리전스 담당 이사 케이틀린 콘던은 “특히 2024년에 관찰한 여러 사건에서 취약점 악용이 처음에는 범위 내에 있다고 여겨졌으나, CVE 악용보다는 공격자의 손상된 자격 증명 사용으로 인해 발생한 것으로 밝혀졌다”라고 말했다.

래피드7의 관리형 탐지 및 대응(MDR) 팀에 따르면, 취약점이 침해로 이어진 경우, 이는 0-day 취약점보다는 오래된 버그가 원인이었다.

콘돈은 “래피드7 MDR 및 사고 대응 팀이 작년에 실제 운영 환경에서 악용된 취약점의 대부분은 2024년에 새로 발견된 CVE였으며, 알려진 악용 사례가 있었다”라고 말했다. 래피드7이 생산 시스템에서 확인한 나머지 CVE 악용 사례는 이전에 널리 알려진 위협 캠페인에서 사용된 오래된 취약점이었다.

래피드7 MDR이 2024년에 악용된 것으로 확인한 대부분의 취약점은 파일 전송 애플리케이션과 네트워크 엣지 기기를 대상으로 하며, 해당 취약점이 이전에 악용되었는지 여부와 관계없이 악용된 것으로 나타났다.
dl-itworldkorea@foundryco.com