트렌드 : 제로데이(Zero-Day) 취약점

트렌드 : 제로데이(Zero-Day) 취약점, 공격자가 먼저 들이닥치는 순간

모든 기업은 외부 침입을 막기 위해 성벽을 쌓고 문지기를 둡니다. 사이버 보안에서 이 문지기 역할은 보통 WAF(웹 방화벽)가 담당합니다.

하지만, 만약 문지기인 WAF 자체가 공격당해 문을 열어준다면 어떻게 될까요? 최근 발생한 Fortinet WAF 취약점 사태는 이러한 공포가 현실임을 증명했습니다. 오늘은 보안 담당자가 반드시 알아야 할 제로데이의 개념과 실제 사례를 살펴봅니다. 또한, WAF가 무력화된 환경에서 서버를 지킬 유일한 방법도 함께 다뤄보겠습니다.

/

1. 제로데이(Zero-Day)란 무엇인가?

정의와 유래 :

제로데이 취약점은 개발자가 보안 패치를 내놓기 전, 해커가 먼저 발견해 악용하는 허점을 말합니다. 취약점 발견 시점부터 방어 패치까지 남은 시간이 ‘0일(Zero-Day)’이라는 뜻에서 유래했습니다. 즉, 방어 준비 시간이 전혀 없는 상태에서의 공격을 의미합니다.

보안 담당자의 악몽인 이유 :

일반적인 보안 장비는 이미 알려진 공격 패턴(Signature)을 기반으로 탐지합니다. 반면, 제로데이는 세상에 없던 새로운 패턴입니다. 따라서 기존 장비들이 이를 ‘정상 접근’으로 오판하여 통과시킬 확률이 매우 높습니다.

/

2. WAF조차 뚫렸다: Fortinet 취약점 사례

최근 전 세계적으로 사용되는 FortiWeb WAF에서 치명적인 제로데이 취약점 2건이 발견되었습니다. 더욱 충격적인 사실은 이 취약점들이 이미 실제 공격에 악용되고 있다는 점입니다.

• 관리자 권한 탈취 (CVE-2025-64446): 조작된 요청만으로 시스템 관리자 명령을 원격 실행할 수 있습니다. 즉, 해커가 WAF의 통제권을 완전히 가져가게 됩니다.
• 임의 코드 실행 (CVE-2025-58034): 인증된 공격자가 시스템 내부에서 임의의 코드를 실행하여 데이터를 탈취할 수 있습니다.

/

3. 제로데이 공격의 대표적 실제 사례

첫째, 로그4쉘 (Log4Shell)

2021년 발생한 이 사건은 자바 로깅 라이브러리의 취약점을 악용했습니다. 해커들은 이 문을 통해 침투한 뒤, 가장 먼저 ‘웹쉘‘을 설치하여 지속적인 뒷문을 만들어 두었습니다.

둘째, MS 익스체인지 서버 (HAFNIUM)

중국 해킹 그룹은 메일 서버의 제로데이 취약점을 연쇄적으로 사용했습니다. 이들 역시 ‘차이나 초퍼’라는 웹쉘을 업로드하여 언제든 데이터를 훔쳐볼 수 있는 상태를 유지했습니다.

셋째, MOVEit Transfer 솔루션

랜섬웨어 조직은 파일 전송 솔루션의 SQL 인젝션 취약점을 공략했습니다. 이들은 특수 제작된 웹쉘을 심어 Azure 설정 정보를 탈취하고 대규모 데이터를 빼냈습니다.

/

4. 제로데이는 막을 수 없지만, 대응은 가능합니다

1. 패치의 한계: 제로데이는 패치 전 발생하므로 ‘시간의 공백’이 존재합니다.
2. 공격의 핵심 도구: 해커의 목적은 거점 마련이며, 이때 90% 이상 ‘웹쉘’을 사용합니다.
3. 행위 기반 탐지: WAF가 뚫린 ‘Post-WAF’ 환경에서는 네트워크 검사만으론 부족합니다. 이미 내부로 들어온 해커의 행위를 잡아낼 웹쉘 전용 솔루션이 필수입니다.

/

5. WSS(Web Server Safeguard)가 필요한 이유

WSS는 18년의 노하우로 WAF를 우회해 들어온 웹쉘을 즉각 격리합니다.

/

결론: 제로데이는 ‘예측’이 아닌 ‘대응’의 영역입니다

최고의 보안 장비인 WAF조차 제로데이 앞에서는 무력해질 수 있습니다. 대문만 잠그고 안방 문을 열어두어서는 안 됩니다. 해커가 대문을 통과했을 때, 내부에서 무기(웹쉘)를 찾아낼 마지막 보루가 있어야 합니다.

이제 WSS(Web Server Safeguard)를 통해 제로데이의 공포에서 벗어나 귀사의 서버를 안전하게 보호하십시오.