기술사 학습노트 | imt-log

기술사 학습노트›Network Security›제로데이

Network Security · 정보관리기술사 / 컴퓨터시스템응용기술사

제로데이(Zero-Day) 공격 구조와 취약점 기반 침투 메커니즘

취약점 공개·패치 이전의 공격 공백을 악용하는 고도화 침투 기법과 EDR·NDR·UEBA·XDR 기반 대응 구조

정보관리기술사컴퓨터시스템응용기술사제로데이ZeroDay취약점공격ExploitAPTMITREATTACKXDR보안관제

Ⅰ. 개요 및 등장배경

가. 개념

• Zero-Day는 취약점 공개 및 패치 이전 단계에서 공격자가 선제적으로 악용하는 고도화된 침투 공격 기법이다.
• 보안업체·제조사·사용자가 취약점 존재를 알기 전 또는 패치 배포 전 공격이 수행되므로, 기존 시그니처 기반 방어체계를 우회하기 쉽다.
• 단순 악성코드보다 취약점-익스플로잇-침투-권한상승-내부확산으로 이어지는 공격 체인 관점에서 이해해야 한다.

나. 특징

• 비공개성: CVE 등록, 보안패치, 탐지 룰이 없는 상태에서 악용된다.
• 은닉성: 난독화, 파일리스 공격, 정상 프로세스 악용으로 탐지를 회피한다.
• 고위험성: 정부기관, 금융, 제조, 클라우드, 공급망 등 핵심 인프라를 대상으로 APT 공격에 활용된다.
• 시간민감성: 취약점 발견일부터 패치 적용 전까지의 노출 시간이 피해 규모를 좌우한다.

제로데이는 “패치 전 공백”을 악용하는 공격이므로 예방만으로는 한계가 있다.
시험 답안에서는 공격 체인, MITRE ATT&CK, 3계층 탐지, XDR 대응까지 연결해야 고득점 구조가 된다.

Ⅱ. 구성도 및 구성요소

가. 구성도

취약점 발견

Unknown Bug

→

Exploit 제작

Weaponization

→

초기 침투

Initial Access

→

권한 상승

Privilege

→

내부 이동

Lateral Move

→

정보 유출

Exfiltration

나. 구성요소

구분	요소	설명
취약점	Zero-Day Vulnerability	제조사와 사용자가 인지하지 못했거나 패치가 배포되지 않은 보안 결함
공격코드	Exploit	메모리 오류, 권한 검증 오류, 입력 검증 실패 등을 실제 침투 코드로 구현
초기접근	Phishing, Web, Supply Chain	메일 첨부, 악성 링크, 감염 사이트, 소프트웨어 업데이트 경로를 통한 침투
실행기법	Fileless, Script Abuse	PowerShell, WMI, 정상 프로세스 로딩 등으로 악성 행위를 숨김
권한상승	Privilege Escalation	일반 사용자 권한에서 관리자·시스템 권한으로 확대
지속성	Backdoor, C2	재부팅 후에도 접근 가능하도록 백도어와 명령제어 채널 유지
내부확산	Lateral Movement	계정 탈취, 원격접속, 공유자원 악용으로 내부 시스템 이동
대응요소	EDR, NDR, UEBA, XDR	엔드포인트·네트워크·계정 행위를 통합 분석하여 이상행위 중심으로 탐지

구성요소는 공격 측면의 취약점·익스플로잇·C2와 방어 측면의 EDR·NDR·UEBA·XDR로 구분된다.
제로데이 답안은 공격 흐름과 대응 계층을 함께 제시해야 완성도가 높다.

Ⅲ. 동작방식 및 아키텍처

가. 공격 동작방식

• 취약점 분석: 소프트웨어, 브라우저, OS 커널, VPN, 보안장비, 클라우드 API의 결함을 식별한다.
• 무기화: 취약점을 실제 공격 가능한 Exploit 코드로 제작하고 난독화한다.
• 초기침투: 피싱, 웹드라이브바이, 공급망, 취약 서버 접근으로 최초 실행을 유도한다.
• 권한상승·내부확산: 계정정보 수집, 관리자 권한 획득, 내부 시스템 이동을 수행한다.
• 목표달성: 데이터 탈취, 랜섬웨어 배포, 시스템 파괴, 산업제어 조작 등 공격 목적을 수행한다.

나. 보안 프레임워크 연계

• Cyber Kill Chain 기준 Weaponization~Exploitation 단계에서 제로데이 Exploit이 핵심적으로 사용된다.
• MITRE ATT&CK 기준 Initial Access, Execution, Privilege Escalation, Defense Evasion, Lateral Movement 단계와 직접 연계된다.
• 시험 답안에서는 단순 “알려지지 않은 취약점 공격”이 아니라, 공격 라이프사이클 내부의 어느 단계에서 활용되는지 설명하는 것이 중요하다.

다. 대응 아키텍처

• Endpoint 계층(EDR): 프로세스 생성, 파일리스 실행, 메모리 행위, 권한 상승 시도를 탐지한다.
• Network 계층(NDR): 비정상 C2 통신, 내부 스캐닝, 데이터 유출 트래픽을 분석한다.
• Identity 계층(UEBA): 계정 탈취, 비정상 로그인, 권한 오남용을 사용자 행위 기반으로 식별한다.
• 통합대응(XDR/SOAR): 엔드포인트·네트워크·계정 이벤트를 상관분석하고 격리·차단·조치 자동화를 수행한다.

제로데이 대응은 시그니처 중심이 아니라 행위·이상징후·상관분석 중심으로 설계해야 한다.
EDR·NDR·UEBA를 XDR로 통합하면 탐지 사각지대를 줄일 수 있다.

Ⅳ. 실무적용 및 사례

가. 실무 적용 방안

• 취약점 관리: 자산 식별, CVE 모니터링, 위험도 기반 패치 우선순위, 가상패치 적용
• 망·권한 통제: 최소권한, 계정분리, 접근통제, 마이크로세그멘테이션 적용
• 행위 기반 관제: EDR 이벤트, NDR 트래픽, 인증로그를 통합해 IOC보다 TTP 중심으로 분석
• 침해대응: 격리, 포렌식, 영향범위 산정, 임시차단, 패치, 재발방지 순서로 대응

나. 대표 사례 관점

• Stuxnet: 산업제어시스템을 대상으로 복수 취약점과 정교한 전파·은닉 기법이 결합된 사례
• 브라우저·문서 취약점: 사용자의 문서 열람 또는 웹 접속만으로 악성코드 실행이 가능한 공격 사례
• VPN·보안장비 취약점: 외부 노출 장비의 취약점을 이용해 내부망 초기접근으로 이어지는 사례
• 공급망 공격: 정상 업데이트·배포 경로에 악성코드를 삽입해 대규모 피해로 확산되는 사례

실무에서는 “패치만 하면 된다”가 아니라 자산관리, 계정통제, 행위탐지, 침해대응 프로세스가 함께 필요하다.
제로데이는 APT, 랜섬웨어, 공급망 공격의 초기 침투 수단으로 자주 활용된다.

Ⅴ. 비교분석 및 발전전망

가. 기존 공격과 비교

구분	Known Attack	Zero-Day Attack
취약점 상태	공개·분석 완료	미공개 또는 패치 전
탐지 방식	시그니처·IOC 기반	행위·이상징후·TTP 기반
대응 속도	패치와 룰 적용 가능	격리·완화·가상패치 우선
위험도	관리 가능성 높음	초기 피해 확산 가능성 높음
적용 공격	일반 악성코드, 알려진 침투	APT, 공급망, 고도화 랜섬웨어

나. 발전전망

• AI 기반 탐지: 정상 행위 기준선을 학습해 알려지지 않은 공격의 이상징후를 탐지한다.
• Zero Trust: 내부망 신뢰를 제거하고 모든 접근을 지속 검증해 침투 후 확산을 제한한다.
• XDR 확산: 엔드포인트·네트워크·클라우드·ID 데이터를 통합해 탐지 정확도를 높인다.
• 공격표면관리(ASM): 외부 노출 자산과 취약 서비스를 지속 점검하여 초기침투 가능성을 낮춘다.
• 자동화 대응: SOAR 기반으로 격리, 차단, 티켓 발행, 위협 인텔리전스 조회를 자동화한다.

제로데이 대응은 사전 방어 중심에서 실시간 탐지·완화·복구 중심으로 전환되고 있다.
AI 기반 이상행위 탐지, Zero Trust, XDR 통합관제가 향후 핵심 대응 방향이다.

블로그: 기술사 학습노트 · imt-log.tistory.com

← Network Security 목록