트렌드 : 제로데이(Zero-Day) 취약점

,
Author: umvcass5
Published Date: December 2, 2025

트렌드 : 제로데이(Zero-Day) 취약점 : 방어자가 알기 전, 공격자가 먼저 들이닥치는 순간

/

모든 기업은 외부의 침입을 막기 위해 성벽을 쌓고 문지기를 둡니다. 사이버 보안에서 그 문지기 역할은 보통 WAF(Web Application Firewall, 웹 방화벽)가 담당하죠.

하지만, 만약 그 문지기(WAF) 자체가 공격당해 문을 활짝 열어준다면 어떻게 될까요?

최근 1주일 사이 발생한 Fortinet WAF 취약점 사태는 이러한 공포가 단순한 가정이 아님을 증명했습니다. 오늘은 보안 담당자라면 반드시 알아야 할 제로데이(Zero-Day)의 개념과, 제로데이 공격의 실제 사례 그리고 WAF가 무력화된 ‘Post-WAF’ 환경에서 서버를 지키는 유일한 방법에 대해 심층적으로 다뤄봅니다.

/

1. 제로데이(Zero-Day)란 무엇인가?

  • 정의: 제로데이 취약점은 소프트웨어 제조사나 개발자가 패치(수정)를 내놓기 전에, 해커가 먼저 발견하여 공격에 악용하는 보안 취약점을 말합니다.

  • 이름의 유래: 취약점이 발견된 시점부터 개발자가 이를 막을 수 있는 시간(Day)이 ‘0일’밖에 남지 않았다는 뜻에서 유래했습니다. 즉, 방어할 준비 시간이 ‘Zero’인 상태에서의 공격입니다.

  • 보안 담당자의 악몽인 이유: 기존의 필수 보안 장비(백신, 방화벽 등)는 이미 알려진 공격 패턴(Signature)을 기반으로 탐지합니다. 하지만 제로데이는 세상에 없던 공격 패턴이므로, 기존 보안 장비들이 ‘정상적인 접근’으로 오판하여 통과시킬 확률이 매우 높습니다.

/

2. WAF조차 뚫렸다: Fortinet 취약점 사례

지난 1주일 사이, 전 세계적으로 널리 쓰이는 보안 솔루션인 Fortinet사의 FortiWeb WAF 제품에서 치명적인 제로데이 취약점 2건이 공개되었습니다. 충격적인 것은 두 취약점 모두 이미 실제 환경(In the wild)에서 악용되고 있다는 점입니다.

/

🚨 1) 관리자 권한 탈취 (CVE-2025-64446)

  • 공개일: 2025년 11월 14일
  • 유형: 패스 트래버설 (Path Traversal)
  • 심각도: 9.8 (CRITICAL)
  • 위협: 상대 경로 트래버설 결함을 악용하여, 공격자가 조작된 HTTP/HTTPS 요청만으로 시스템 관리자 명령을 원격에서 실행할 수 있습니다. 즉, WAF의 통제권을 해커가 가져가는 상황입니다.
  • 출처: NIST NVD – CVE-2025-64446 Detail

🚨 2) 임의 코드 실행 (CVE-2025-58034)

  • 공개일: 2025년 11월 18일
  • 유형: OS 명령 주입 (Command Injection)
  • 심각도: 7.2 (HIGH)
  • 위협: 인증된 공격자가 조작된 요청을 통해 기반 시스템에서 임의의 코드를 실행할 수 있습니다.
  • 출처: NIST NVD – CVE-2025-58034 Detail

/

3. 제로데이 공격의 실제 사례

사례 1: 전 세계를 뒤흔든 로그4쉘 (Log4Shell)

  • 식별 코드: CVE-2021-44228
  • 발생 시기: 2021년 12월
  • 사건 개요: 자바(Java) 기반의 로깅 라이브러리인 Log4j에서 발견된 치명적인 취약점입니다. 공격자가 채팅창이나 로그인 입력창에 특정 문자열($jndi:ldap://…)만 입력하면, 서버가 해커의 명령을 실행하게 만드는 원격 코드 실행(RCE) 취약점이었습니다.
  • 세부 내용: 공격자들은 이 제로데이 취약점을 통해 서버 권한을 탈취한 뒤, 가장 먼저 한 일은 ‘웹쉘’을 설치하는 것이었습니다. 제로데이로 문을 열고, 웹쉘로 뒷문을 만들어 지속적인 접속을 유지했습니다.
  • 영향도: CVSS(취약점 점수) 만점인 10.0을 기록할 정도로 파급력이 컸으며, 전 세계 수백만 대의 서버가 위험에 노출되었습니다.

출처: CISA (미국 사이버보안 및 인프라 보안국) – Apache Log4j Vulnerability Guidance

/

사례 2: 마이크로소프트 익스체인지 서버 (HAFNIUM 공격)

  • 식별 코드: CVE-2021-26855, CVE-2021-27065 등 (ProxyLogon)
  • 발생 시기: 2021년 3월
  • 사건 개요: 중국 기반의 해킹 그룹 ‘HAFNIUM’이 MS Exchange Server(메일 서버)의 제로데이 취약점 4개를 연쇄적으로 사용하여 서버를 장악했습니다.
  • 세부 내용: 이 공격의 핵심 역시 ‘차이나 초퍼(China Chopper)’라고 불리는 웹쉘을 서버에 업로드하는 것이었습니다. 제로데이 취약점으로 인증을 우회하고 파일을 쓸 권한을 얻은 뒤, 웹쉘(.aspx 파일)을 심어두어 언제든지 메일 데이터를 훔쳐볼 수 있는 상태를 만들었습니다.

출처: Microsoft Security Blog – HAFNIUM targeting Exchange Servers with 0-day exploit

/

사례 3: MOVEit Transfer 파일 전송 솔루션

  • 식별 코드: CVE-2023-34362
  • 발생 시기: 2023년 5월
  • 사건 개요: 기업용 대용량 파일 전송 솔루션인 MOVEit Transfer에서 SQL 인젝션 취약점이 발견되었습니다. ‘Cl0p’라는 랜섬웨어 조직이 이를 악용하여 수천 개의 기업 데이터를 탈취했습니다.
  • 세부 내용: 공격자들은 취약점을 이용해 LEMURLOOT라는 이름의 특수 제작된 웹쉘을 시스템에 심었습니다. 이 웹쉘은 Azure 시스템 설정을 탈취하거나 파일을 다운로드하는 명령을 수행했습니다.

출처: Mandiant – Zero-Day Vulnerability in MOVEit Transfer Exploited for Data Theft

/

4. 제로데이는 막을 수 없습니다. 하지만 그 다음은 막을 수 있습니다.

1.패치의 한계: 제로데이 공격은 패치가 나오기 전에 발생합니다. 즉, 취약점 패치만으로는 완벽한 방어가 불가능한 ‘시간의 공백(Time Gap)’이 존재합니다.

2. 공격의 메커니즘: 해커가 제로데이 취약점을 사용하는 주된 목적은 단순한 파괴가 아니라, 시스템에 침투하여 거점을 마련(Persistence)하는 것입니다. 이때 90% 이상의 확률로 사용되는 도구가 바로 ‘웹쉘’입니다.

3.행위 기반 탐지의 중요성:

  • 제로데이 취약점 자체는 시그니처(패턴)가 없어 기존 백신이 못 잡을 수 있습니다.
  • 또한 WAF가 뚫리는 시점 (Post-WAF)부터는 네트워크 패킷을 검사하는 기존 방식으로 방어가 불가능합니다. 이미 해커가 서버 내부에 들어와 파일 시스템을 조작하기 때문입니다.
  • 이때 필요한 것이 바로 웹쉘 탐지 전용 솔루션입니다.
  • 이미 Samsung, Hyundai, Starbucks 및 주요 정부 기관들은 WAF 및 기존 보안 솔루션들의 한계를 인지하고 WSS(Web Server Safeguard)를 도입하여 이중 방어 체계를 구축하고 있습니다.

/

🛡️ WSS(Web Server Safeguard)는 무엇이 다른가?

WSS는 18년 이상의 노하우를 바탕으로, WAF와 기존 필수 솔루션들을 우회하여 들어온 웹쉘을 즉각적으로 찾아내고 격리합니다.

탐지 기법상세 내용 및 경쟁력
Patterns (패턴 매칭)2,000건 이상의 웹쉘 패턴 DB 보유.

대부분의 WAF가 보유한 패턴 수의 20배 이상에 달하는 방대한 데이터로 변종 웹쉘을 식별합니다.
Hash Values (해시 값)VirusTotal 등 글로벌 인텔리전스와 연동하여, 공개된 최신 웹쉘 해시 값을 실시간으로 수집 및 업데이트합니다.
Algorithm (알고리즘) 탐지기법알려지지 않은(Unknown), 난독화된, 혹은 분할된 스크립트 내의 웹쉘 유사 행위를 탐지하는 독자적인 전용 알고리즘을 탑재했습니다.
Decryption Engine자사 개발 복호화 엔진과 파서(Parser)를 통해, 암호화되거나 인코딩되어 숨겨진 웹쉘까지 낱낱이 분석하여 탐지합니다.

/

5. 결론: 제로데이는 ‘예측’할 수 없지만, ‘대응’할 수는 있습니다.

제로데이 취약점은 언제, 어디서 터질지 아무도 모릅니다. 최고의 보안 장비라 불리는 Fortinet WAF조차 뚫릴 수 있다는 것이 그 증거입니다.

경계 보안(WAF)에만 의존하는 것은, 대문만 잠그고 안방 문은 활짝 열어두는 것과 같습니다. 해커가 대문을 뚫고 들어왔을 때, 서버 내부에서 그들의 무기(웹쉘)를 찾아낼 마지막 보루가 필요합니다.

귀사의 서버에는 ‘내부 감시자’가 있습니까?

WAF 그 이상의 보안, WSS(Web Server Safeguard)로 제로데이의 위협에서 벗어나십시오.