제로 데이 공격
1. 개요
1. 개요
제로 데이 공격은 소프트웨어나 하드웨어에 존재하는, 제조사나 개발자에게 알려지지 않은 취약점(제로 데이 취약점)을 악용하여 이루어지는 사이버 공격이다. '제로 데이'라는 용어는 취약점이 공개된 날짜로부터 공격이 이루어지는 시간적 여유가 '제로(0)'라는 점에서 유래한다. 즉, 해당 취약점에 대한 패치나 대응책이 존재하지 않는 상태에서 공격이 발생하기 때문에 방어가 극히 어렵고 피해 규모가 클 수 있다.
이러한 공격은 악성코드, 피싱, 워터링홀 공격 등 다양한 경로를 통해 시스템에 침투한다. 공격 목표는 개인정보 유출, 산업 스파이 활동, 금융 사기, 크리티컬 인프라 파괴, 또는 정치적·이념적 목적을 가진 사이버 테러까지 매우 광범위하다. 제로 데이 공격의 위험성은 공격자가 취약점을 발견하고 악용하는 시점이 공급업체의 패치 개발 및 배포보다 앞서 있다는 데 있다.
제로 데이 취약점은 소프트웨어의 복잡성 증가와 함께 지속적으로 발견되며, 이는 사이버 보안 분야에서 가장 심각한 위협 중 하나로 인식된다. 방어를 위해서는 위협 인텔리전스 수집, 행위 기반 탐지 시스템, 그리고 신속한 대응 체계를 갖추는 것이 필수적이다. 또한, 취약점을 책임 있게 공개하는 책임 있는 공개 정책과 같은 윤리적 프레임워크도 중요한 논의 주제이다.
2. 정의와 개념
2. 정의와 개념
제로 데이 공격은 공격 대상 소프트웨어의 알려지지 않은 취약점, 즉 제로 데이 취약점을 이용하여 이루어지는 사이버 공격이다. 이 용어는 취약점이 개발사나 대중에게 공개된 지 '0일'이 지났다는 의미에서 유래한다. 공격자는 해당 취약점에 대한 패치나 대응책이 존재하지 않는 상태에서 제로 데이 익스플로잇이라는 악성 코드를 개발하여 공격을 실행한다.
제로 데이 공격의 핵심 구성 요소는 제로 데이 취약점과 제로 데이 익스플로잇이다. 제로 데이 취약점은 소프트웨어나 하드웨어에 존재하지만, 제조사나 보안 커뮤니티에 아직 알려지지 않아 공식적인 수정이 이루어지지 않은 보안 결함이다. 제로 데이 익스플로잇은 이러한 취약점을 악용하여 시스템에 침투하거나 권한을 상승시키거나 원하는 악성 행위를 수행하도록 설계된 특수한 코드나 기술이다.
이러한 공격의 주요 특징은 다음과 같다.
특징 | 설명 |
|---|---|
예방 불가능성 | 취약점 자체가 알려지지 않았기 때문에 특정 패치나 시그니처 기반 방어로는 사전 차단이 거의 불가능하다. |
높은 성공률 | 방어 측이 취약점을 인지하지 못하는 상태에서 공격이 이루어지므로 초기 탐지 및 대응이 매우 어렵다. |
제한적 생명주기 | 공격이 감지되어 취약점이 공개되면, 제조사는 패치를 개발하고 사용자는 적용하게 되어 공격의 효용이 급격히 떨어진다. |
따라서 제로 데이 공격은 발견 즉시 가장 위험한 사이버 위협으로 간주되며, 표적 공격, 사이버 간첩 활동, 고급 지속 위협(APT)에서 핵심 수단으로 자주 활용된다.
2.1. 제로 데이 취약점
2.1. 제로 데이 취약점
제로 데이 취약점은 소프트웨어나 하드웨어에 존재하는, 제조사나 개발자가 아직 인지하지 못하거나 인지했더라도 공식적인 패치나 수정이 이루어지지 않은 보안 결함을 의미한다. "제로 데이"라는 용어는 취약점이 공개되어 패치가 가능해진 날짜를 기준으로, 공격자에게 공격 가능한 기간이 '0일'이라는 점에서 유래한다. 즉, 공급자가 취약점을 알기 전이나 알게 된 직후부터 패치가 배포되어 사용자들이 적용하기까지의 시간 동안, 이 취약점은 방어 측면에서 대응책이 없는 상태로 존재한다.
이러한 취약점은 소프트웨어 결함, 설계 오류, 프로토콜의 비논리적 구현 등 다양한 원인으로 발생한다. 복잡한 현대 소프트웨어에서는 완벽한 검증과 테스트를 거치기 어렵기 때문에, 출시 이후에 발견되는 취약점은 피할 수 없는 현상으로 간주된다. 제로 데이 취약점의 위험성은 공격자가 이를 악용하는 익스플로잇 코드를 작성하여 제로 데이 공격을 수행할 수 있다는 점에 있다.
제로 데이 취약점의 수명 주기는 일반적으로 다음과 같은 단계를 거친다.
단계 | 설명 |
|---|---|
비공개 상태 | 취약점이 존재하지만 개발자나 공격자 모두 모르는 상태. |
발견 | 공격자나 연구자에 의해 취약점이 발견된다. |
익스플로잇 개발 | 발견자가 취약점을 악용하는 코드를 개발한다. |
악용 | 익스플로잇이 실제 공격에 사용된다. |
공개 | 취약점 정보가 공개되어 개발사와 보안 커뮤니티에 알려진다. |
패치 개발 및 배포 | 개발사가 수정 패치를 만들어 사용자에게 배포한다. |
패치 적용 | 사용자가 패치를 적용하여 취약점이 제거된다. |
취약점이 '비공개 상태'에서 '악용' 단계를 거칠 때까지 개발사는 이를 인지하지 못하므로, 이 기간 동안의 공격을 효과적으로 막는 것은 극히 어렵다. 일단 정보가 공개되면, 패치가 배포되기 전까지의 짧은 시간 창도 공격자들에게는 중요한 표적이 된다. 이러한 특성 때문에 제로 데이 취약점은 사이버 보안 위협 중에서도 가장 위험한 범주에 속하며, 높은 경제적 가치를 지닌다.
2.2. 제로 데이 익스플로잇
2.2. 제로 데이 익스플로잇
제로 데이 익스플로잇은 제로 데이 취약점을 악용하여 공격을 수행하기 위해 고안된 특정 코드나 기술을 가리킨다. 이는 취약점이 존재하는 소프트웨어나 시스템의 결함을 이용해, 권한 상승, 데이터 유출, 시스템 장악 등의 악의적 목적을 달성하는 수단이다. 익스플로잇은 취약점의 성격에 따라 원격 코드 실행, 권한 상승, 서비스 거부 등 다양한 형태로 구현된다.
익스플로잇의 구성 요소는 일반적으로 취약점을 유발시키는 페이로드, 메모리 주소 조작을 위한 정보, 공격 성공 후의 후속 조치를 위한 코드 등으로 이루어진다. 공격자는 이를 통해 방어 체계를 우회하고 표적 시스템에 침투한다. 제로 데이 익스플로잇은 해당 취약점에 대한 공식 패치나 대응 방안이 존재하지 않는 시점에 사용되기 때문에, 기존의 시그니처 기반 탐지 시스템으로는 거의 탐지가 불가능하다.
익스플로잇 유형 | 주요 목적 | 예시 |
|---|---|---|
원격 코드 실행(RCE) | 원격에서 표적 시스템에 임의의 코드를 실행 | 이메일 첨부파일이나 악성 링크를 통한 침투 |
권한 상승(EoP) | 제한된 사용자 권한에서 관리자 권한으로 확보 | 로컬 시스템의 취약점을 이용한 커널 접근 |
서비스 거부(DoS) | 표적 시스템의 정상적인 서비스를 마비시킴 | 특정 패킷을 이용한 네트워크 스택 과부하 |
이러한 익스플로잇은 공격자가 직접 개발하거나, 지하 시장에서 거래되며, 때로는 국가 기관이 사이버 작전을 위해 보유하기도 한다. 한 번 공개되거나 탐지되면 소프트웨어 벤더가 패치를 발표하고 보안 솔루션이 대응 시그니처를 업데이트함에 따라 그 효력이 급격히 떨어진다. 따라서 제로 데이 익스플로잇은 극히 제한적으로 사용되는 고가의 사이버 무기로 간주된다.
2.3. 제로 데이 공격의 특징
2.3. 제로 데이 공격의 특징
제로 데이 공격의 가장 두드러진 특징은 공격 당시 해당 취약점에 대한 공식적인 패치나 대응책이 존재하지 않는다는 점이다. 이는 공격 대상 조직이나 소프트웨어 제공업체가 위협을 사전에 인지하고 방어할 기회가 극히 제한적임을 의미한다. 따라서 공격 성공률이 상대적으로 높고, 초기 대응이 지연될 가능성이 크다.
또한, 이러한 공격은 일반적으로 매우 표적화되어 있으며, 발견에서 익스플로잇 개발, 실제 공격 실행까지의 과정이 극비리에 진행된다. 공격자는 취약점이 공개되어 패치가 배포되기 전에 정치적, 경제적 목적을 달성하거나 악성코드를 배포하려고 시도한다. 이 '공개 전'의 기간은 공격자에게는 황금시간이지만, 방어자에게는 가장 취약한 시기이다.
제로 데이 공격의 영향은 취약점의 중요도에 따라 크게 달라진다. 주요 운영체제나 널리 사용되는 응용 프로그램의 심각한 취약점을 이용한 공격은 전 세계적으로 광범위한 피해를 초래할 수 있다. 반면, 특정 조직의 맞춤형 소프트웨어를 표적으로 한 공격은 피해 범위가 제한적이지만, 해당 조직에게는 치명적일 수 있다.
특징 | 설명 |
|---|---|
사전 대책 부재 | 공격 시점에 공식적인 보안 업데이트나 시그니처 기반 탐지 패턴이 존재하지 않음. |
높은 은밀성 | 공격 전까지 취약점과 익스플로잇이 비공개 상태로 유지되며, 탐지가 매우 어려움. |
제한적 창(Window) | 취약점이 공개되어 패치가 배포되기 전까지의 짧은 기간 동안만 효과적으로 활용 가능. |
표적화 경향 | 특정 기관이나 시스템을 목표로 한 정교한 공격(APT)에 자주 활용됨. |
3. 발생 원인과 배경
3. 발생 원인과 배경
제로 데이 공격의 발생은 근본적으로 소프트웨어 결함에서 비롯된다. 모든 소프트웨어는 설계, 코딩, 통합 과정에서 인간이 만든 것이기 때문에 완벽할 수 없으며, 예상치 못한 로직 오류나 보안 취약점이 포함될 수 있다. 이러한 결함은 소프트웨어가 출시된 후에도 발견되지 않은 채 남아 있을 수 있으며, 공격자는 정식 패치가 나오기 전에 이 결함을 악용하는 익스플로잇 코드를 개발한다. 소프트웨어의 복잡성이 증가할수록 잠재적 취약점의 수와 발견되지 않고 남아 있을 가능성도 함께 증가한다.
제로 데이 취약점이 공격으로 이어지는 배경에는 비공개 취약점 거래 시장의 존재가 크게 작용한다. 보안 연구원이나 해커가 발견한 미공개 취약점 정보는 블랙 마켓에서 높은 가격에 거래되거나, 국가 기관에 의해 사이버 무기로 구매되기도 한다. 이는 공격자에게 제로 데이 익스플로잇을 확보할 수 있는 경로를 제공한다. 한편, 윤리적인 버그 바운티 프로그램을 통해 제조사에 보고하는 것보다 더 큰 경제적 이익을 추구하는 행위도 원인 중 하나이다.
아래 표는 제로 데이 취약점이 발생하고 공격으로 활용되기까지의 주요 경로를 요약한 것이다.
발생/활용 경로 | 설명 | 관련 주체 |
|---|---|---|
소프트웨어 결함 | 코딩 오류, 설계 결함, 구성 오류 등으로 인해 발생하는 본질적 취약점 | 소프트웨어 개발자, 벤더 |
비공개 연구 발견 | 보안 연구원, 학자, 해커 등에 의해 발견되지만 공개되지 않은 상태 | 보안 연구원, 해커 |
비공개 거래/구매 | 발견된 취약점 정보가 블랙마켓, 국가 기관, 민간 회사 등에 비공개로 거래됨 | 사이버 범죄 조직, 국가 정보 기관, 보안 업체 |
익스플로잇 개발 | 거래된 취약점 정보를 바탕으로 실제 공격에 사용할 코드가 개발됨 | 공격자 |
제로 데이 공격 실행 | 개발된 익스플로잇을 이용해 취약점이 패치되기 전에 표적을 공격함 | 최종 공격자 |
이러한 배경 하에서, 취약점이 발견된 순간부터 공격에 이용되기까지의 시간, 즉 공격 표면이 노출된 시간을 줄이는 것이 방어의 핵심 과제가 된다.
3.1. 소프트웨어 결함
3.1. 소프트웨어 결함
소프트웨어 결함은 제로 데이 취약점이 발생하는 근본적인 원인이다. 모든 소프트웨어는 인간이 설계하고 구현하기 때문에 완벽할 수 없다. 복잡한 코드 내에는 설계상의 오류, 논리적 결함, 구현 실수, 메모리 관리 문제 등 다양한 형태의 결함이 존재할 가능성이 있다. 이러한 결함 중 보안을 위협할 수 있는 취약점이 발견되었으나, 개발사가 아직 인지하지 못하거나 패치를 제공하지 않은 상태라면 그것이 제로 데이 취약점이 된다.
소프트웨어 결함의 구체적인 유형으로는 버퍼 오버플로우, 정수 오버플로우, 형식 문자열 버그, 경쟁 조건, 입력 검증 누락 등이 있다. 예를 들어, 버퍼 오버플로우는 프로그램이 할당된 메모리 공간보다 많은 데이터를 쓰려고 할 때 발생하며, 이를 통해 공격자는 임의의 코드를 실행할 수 있다. 이러한 결함들은 소프트웨어 개발 생명주기의 어느 단계에서든 발생할 수 있다.
결함 유형 | 간단한 설명 |
|---|---|
고정된 크기의 메모리 버퍼에 제한을 넘는 데이터를 쓰려고 할 때 발생한다. | |
정수 연산 결과가 해당 자료형이 표현할 수 있는 최대값을 초과할 때 발생한다. | |
사용자 입력이 형식 문자열 매개변수로 취급되어 메모리를 읽거나 쓸 수 있게 한다. | |
두 개 이상의 프로세스나 스레드가 공유 자원에 접근할 때 타이밍에 따라 결과가 달라진다. |
결함의 수와 복잡성은 소프트웨어의 규모와 함께 기하급수적으로 증가하는 경향이 있다. 현대의 운영체제나 주요 응용 프로그램은 수천만 줄의 코드로 구성되어 있어, 모든 가능한 실행 경로와 입력 조건을 테스트하는 것은 사실상 불가능하다. 따라서 제로 데이 취약점은 소프트웨어의 본질적인 속성에서 비롯된 필연적인 존재라고 볼 수 있다.
3.2. 공개 전 비공개 취약점 거래
3.2. 공개 전 비공개 취약점 거래
제로 데이 취약점이 공개되기 전에, 해당 취약점에 대한 정보나 이를 악용하는 익스플로잇 코드가 비공개 시장에서 거래되는 경우가 많다. 이 거래는 주로 보안 연구원, 블랙햇 해커, 정보 중개상, 그리고 국가 기관 사이에서 이루어진다.
거래 시장은 크게 합법적인 범위 내에서 이루어지는 것과 불법적인 것으로 나눌 수 있다. 합법적 시장에는 소프트웨어 제조사가 운영하는 버그 바운티 프로그램이나, 윤리적 책임 공개를 중개하는 보안 업체들이 포함된다. 반면, 불법적인 다크웹 시장이나 국가 정보 기관 간의 비밀 거래에서는 훨씬 높은 금액이 오간다. 거래되는 정보의 가치는 취약점의 영향 범위(예: 운영체제 핵심 요소, 널리 쓰이는 웹 브라우저 등), 악용 난이도, 그리고 탐지 회피 가능성에 따라 결정된다.
이러한 비공개 거래는 심각한 윤리적 딜레마와 보안 위험을 초래한다. 합법적 경로를 통해 취약점이 제조사에 보고되면 보안 패치가 만들어져 공개된다. 그러나 비공개 시장에서 거래된 취약점 정보는 공격자 집단이나 특정 국가의 사이버 공격 무기고에 비축되어, 일반 사용자와 기업은 위협에 무방비 상태로 노출될 수 있다. 이는 사이버 보안의 불평등을 심화시키고, 궁극적으로 전반적인 인터넷 생태계의 취약성을 증가시키는 결과를 낳는다.
4. 공격 수법과 사례
4. 공격 수법과 사례
제로 데이 공격은 특정 취약점이 공개되기 전에 이루어지므로, 공격 벡터는 해당 취약점의 성격에 크게 의존한다. 일반적으로 원격 코드 실행 취약점을 통한 공격이 가장 위험하며, 웹 브라우저, 오피스 제품군, 이메일 클라이언트, 미디어 플레이어 등 널리 사용되는 소프트웨어의 취약점이 자주 악용된다. 공격자는 악성 코드가 포함된 문서 파일이나 웹 페이지, 이메일 첨부 파일을 피해자에게 전달하여 취약한 응용 프로그램을 실행하도록 유도한다. 성공적인 공격은 시스템에 대한 완전한 접근 권한을 획득하거나, 맬웨어를 설치하거나, 데이터를 유출하는 결과를 초래한다.
역사적으로 주목할 만한 사례로는 2010년 스턱스넷 공격이 있다. 이 공격은 윈도우 시스템의 제로 데이 취약점을 여러 개 사용하여 SCADA 시스템을 표적으로 삼았으며, 이란의 우라늄 농축 시설에 물리적 피해를 입혔다[1]. 2016년에는 어도비 플래시 플레이어와 마이크로소프트 실버라이트의 취약점을 악용한 공격이 빈번히 보고되었다. 2017년 전 세계를 강타한 워너크라이 랜섬웨어는 초기 확산에 이더넷 프로토콜의 제로 데이 취약점인 EternalBlue를 활용했다[2].
연도 | 공격/악성코드 명 | 주요 악용 취약점(소프트웨어) | 주요 영향 |
|---|---|---|---|
2010 | LNK 파일 처리 취약점(윈도우), 프린터 스풀러 취약점(윈도우) | 이란 핵시설 물리적 피해 | |
2014-2015 | 샌드웜 운영체제 | 어도비 플래시 플레이어 취약점 | 글로벌 에너지, 통신 기업 표적 공격 |
2016 | 마이크로소프트 실버라이트 취약점 | 중동 지역 금융기관 표적 공격 | |
2017 | 워너크라이 랜섬웨어 | EternalBlue(SMBv1 프로토콜, 윈도우) | 전 세계 150여 개국 시스템 마비 |
최근에는 공급망 공격의 일환으로 제로 데이 취약점이 사용되는 경향이 두드러진다. 2020년 솔라윈즈 사건은 공급망 공격의 대표적 사례이다. 공격자는 합법적인 소프트웨어 업데이트 서버에 침투하여 오리온 플랫폼 소프트웨어의 빌드 과정에 악성 코드를 주입했다. 이 업데이트를 통해 배포된 백도어는 수많은 기업과 정부 기관의 네트워크에 침투하는 발판이 되었다. 이 공격에는 솔라윈즈 제품 자체의 제로 데이 취약점뿐만 아니라, 침투 후 내부 네트워크에서 추가로 사용된 마이크로소프트 제품의 제로 데이 취약점도 포함되었다.
4.1. 대표적인 공격 벡터
4.1. 대표적인 공격 벡터
제로 데이 공격은 다양한 경로를 통해 이루어질 수 있다. 공격 벡터는 취약점이 존재하는 소프트웨어나 시스템 구성 요소의 종류와 공격자가 이를 악용하기 위해 선택하는 초기 침투 방법에 따라 달라진다. 일반적으로 웹 브라우저, 오피스 제품군, 운영 체제 서비스, 하드웨어 펌웨어, 그리고 널리 사용되는 서버 애플리케이션 등이 주요 표적이 된다.
주요 공격 벡터는 다음과 같이 분류할 수 있다.
공격 벡터 | 설명 | 주로 표적이 되는 소프트웨어/환경 예시 |
|---|---|---|
웹 기반 벡터 | 악성 코드가 삽입된 웹사이트를 방문하거나, 조작된 웹 콘텐츠(예: 광고)를 로드할 때 브라우저 또는 그 플러그인의 취약점을 트리거한다. | 구글 크롬, 모질라 파이어폭스, 마이크로소프트 엣지, 어도비 플래시, 자바 애플릿 |
문서 기반 벡터 | 악성 코드가 내장된 문서 파일을 열어 관련 애플리케이션의 취약점을 실행한다. 문서는 이메일 첨부파일이나 다운로드 링크를 통해 유포된다. | 마이크로소프트 워드, 엑셀, PDF 리더(예: 어도비 아크로뱃), 미디어 파일 |
네트워크 서비스 벡터 | 네트워크를 통해 직접 접근 가능한 서비스(포트)의 취약점을 원격으로 악용한다. 방화벽 외부에 노출된 서비스가 주 표적이다. | 이메일 서버(마이크로소프트 익스체인지), VPN 게이트웨이, 웹 서버, 원격 관리 도구 |
로컬/권한 상승 벡터 | 이미 시스템에 일부 접근권을 획득한 공격자가, 커널 또는 시스템 구성 요소의 취약점을 이용해 최고 권한(예: 루트/시스템)으로 상승한다. |
이메일 피싱을 통한 문서 기반 공격과 웹 드라이브 바이 다운로드는 가장 일반적인 초기 침투 수단이다. 한편, IoT 장치의 펌웨어나 산업 제어 시스템(SCADA) 소프트웨어의 제로 데이 취약점을 표적으로 삼는 표적형 공격도 증가하는 추세이다. 공격 벡터의 선택은 공격자의 목표(예: 광범위한 감염 vs. 특정 조직 침해)와 표적 환경에 크게 의존한다.
4.2. 역사적 주요 사례
4.2. 역사적 주요 사례
스턱스넷은 2010년에 발견된 악성 코드로, 제로 데이 취약점을 다수 활용한 최초의 사례로 기록된다. 이 공격은 윈도우 운영체제의 LNK 파일 처리 취약점(CVE-2010-2568)과 시멘텍 및 맥아피의 디지털 서명 검증 취약점 등 최소 4개의 제로 데이 익스플로잇을 사용했다[3]. 주 목표는 이란의 나탄즈 우라늄 농축 시설이었으며, SCADA 시스템을 공격하여 원심분리기를 물리적으로 파괴했다. 이 사건은 사이버 공격이 물리적 피해를 초래할 수 있음을 보여주었고, 국가 차원의 사이버 작전에서 제로 데이 취약점의 가치를 부각시켰다.
2014년에는 소니 픽처스 엔터테인먼트(SPE)를 대상으로 한 대규모 해킹 사건이 발생했다. 해커 집단이 자체 개발한 Destover라는 데이터 삭제 툴과 함께, 마이크로소프트 윈도우 커널의 권한 상승 취약점(CVE-2014-4114)을 활용한 제로 데이 익스플로잇을 사용한 것으로 분석되었다. 이 공격으로 인해 수만 대의 컴퓨터가 손상되고, 미공개 영화, 임직원 개인정보, 내부 메일 등 방대한 데이터가 유출되었다. 이 사건은 기업에 대한 정치적 동기를 가진 제로 데이 공격의 파괴력을 극명하게 보여주었다.
2016년부터 2017년에 걸쳐 발견된 제로 데이 익스플로잇 키트인 "Shadow Brokers" 유출 사건은 사이버 보안 세계에 큰 충격을 주었다. 이 그룹은 미국 국가안보국(NSA)의 해킹 도구 세트를 공개했으며, 그중에는 마이크로소프트 윈도우의 SMBv1 프로토콜 취약점(CVE-2017-0144)을 악용한 "EternalBlue" 익스플로잇이 포함되어 있었다. 이 취약점은 공개 당시 제로 데이 상태였으며, 이후 워너크라이 랜섬웨어와 노페티아 사이버 공격에 악용되어 전 세계적으로 막대한 피해를 발생시켰다. 이 사건은 국가 기관이 보유한 제로 데이 취약점이 유출될 경우의 심각한 위험을 드러냈다.
연도 | 사례명 | 주요 활용 제로 데이 취약점 | 주요 영향 |
|---|---|---|---|
2010 | 윈도우 LNK 파일 처리 취약점(CVE-2010-2568) 등 | 이란 핵시설 물리적 피해 | |
2014 | 윈도우 커널 권한 상승 취약점(CVE-2014-4114) | 대규모 데이터 유출, 시스템 파괴 | |
2017 | 워너크라이 (EternalBlue) | 윈도우 SMBv1 원격 코드 실행 취약점(CVE-2017-0144) | 글로벌 랜섬웨어 대유행 |
2021년에는 IT 관리 소프트웨어인 Kaseya VSA의 제로 데이 취약점(CVE-2021-30116)을 악용한 "REvil" 랜섬웨어 공격이 발생했다. 공격자는 Kaseya의 서버 업데이트 메커니즘을 통해 악성 업데이트를 배포하여, 이를 사용하는 수백 개의 관리형 서비스 공급자(MSP)와 그 고객사를 감염시켰다. 이는 공급망 공격의 전형적인 사례로, 하나의 취약점을 통해 다단계로 확장되는 제로 데이 공격의 위험성을 보여주었다.
5. 탐지와 대응
5. 탐지와 대응
제로 데이 공격의 탐지는 본질적으로 매우 어렵다. 이는 공격에 이용되는 제로 데이 취약점이 공개되지 않았기 때문에, 시그니처 기반의 전통적인 안티바이러스 소프트웨어나 침입 탐지 시스템(IDS)은 이를 인지하지 못한다. 공격 패턴이나 악성 코드의 해시 값이 알려져 있지 않으므로, 이러한 도구들은 공격을 효과적으로 차단하지 못한다. 따라서 탐지는 주로 이상 징후나 간접적인 증상을 통해 이루어진다.
효과적인 대응을 위해서는 사전에 수립된 사고 대응 계획(IRP)이 필수적이다. 공격이 탐지되면 첫 번째 단계는 감염된 시스템을 네트워크에서 격리하여 추가 피해를 막는 것이다. 이후 포렌식 분석을 통해 공격 벡터, 유입 경로, 영향을 받은 범위를 신속하게 조사해야 한다. 이 과정에서 메모리 덤프 분석과 디스크 포렌식이 중요한 단서를 제공할 수 있다.
조사 결과를 바탕으로 위협 인텔리전스 팀은 해당 제로 데이 익스플로잇의 특징과 인디케이터 오브 컴프로마이즈(IoC)를 생성하여 조직 내 다른 부분에 대한 방어 조치를 강화한다. 동시에, 해당 소프트웨어 벤더나 컴퓨터 긴급 대응 팀(CERT)과 같은 외부 기관에 취약점 정보를 신고하고 패치가 개발될 때까지의 임시 조치(워크어라운드)를 적용한다. 최종적으로는 벤더가 제공하는 보안 패치를 모든 시스템에 적용하여 취약점을 근본적으로 제거한다.
대응 단계 | 주요 활동 | 목표 |
|---|---|---|
초기 대응 | 시스템 격리, 초기 증거 수집, 로그 확보 | 공격 확산 차단 및 증거 보존 |
분석 조사 | 포렌식 분석, 공격 경로 및 도구 규명, 영향 범위 평가 | 공격의 전모와 원인 이해 |
격리 및 제거 | 악성 코드 제거, 손상된 시스템 복구, 백도어 차단 | 시스템에서 공격 요소 제거 |
복구 및 보고 | 시스템 정상화, 보안 패치 적용, 사고 보고서 작성 | 운영 복원 및 향후 대비 강화 |
5.1. 탐지의 어려움
5.1. 탐지의 어려움
제로 데이 공격의 탐지는 본질적으로 매우 어렵다. 이는 공격에 이용되는 제로 데이 취약점이 공개되지 않았기 때문에, 해당 취약점을 특정하여 패치하거나 시그니처 기반의 탐지 규칙을 생성하는 것이 불가능하기 때문이다. 따라서 공격이 발생하기 전까지는 방어자가 취약점의 존재를 인지하지 못하는 경우가 대부분이다.
탐지의 주요 접근법은 시그니처 기반 탐지가 아닌 이상 행위 탐지에 의존한다. 이는 알려지지 않은 공격 패턴이나 악성 코드를 사전에 정의된 패턴과 비교하는 대신, 시스템이나 네트워크의 정상적인 활동 기준을 설정하고 이를 벗어나는 편차를 찾아내는 방식이다. 예를 들어, 일반적으로 사용하지 않는 포트에서의 갑작스러운 외부 연결 시도, 평소와 다른 시간대에 발생하는 대량의 데이터 전송, 권한 상승 시도와 같은 의심스러운 프로세스 행동 등을 모니터링한다.
그러나 이상 행위 탐지도 몇 가지 근본적인 한계를 지닌다. 첫째, 정상적인 활동의 기준을 정확히 정의하고 '백그라운드 노이즈'와 실제 위협을 구분하는 것이 복잡하다. 둘째, 공격자가 매우 정교하게 공격을 수행하여 정상적인 활동처럼 위장하면 탐지에서 누락될 가능성이 높다. 마지막으로, 탐지가 이루어진 시점은 이미 공격이 시작된 이후이며, 이로 인해 대응이 공격 속도보다 뒤처지는 경우가 빈번하다.
탐지 방식 | 주요 원리 | 제로 데이 공격 탐지에서의 한계 |
|---|---|---|
시그니처 기반 탐지 | 알려진 악성 패턴(시그니처) 데이터베이스와 비교 | 취약점/악성코드가 알려지지 않았으므로 새로운 시그니처가 없어 무효함 |
이상 행위 탐지 | 정상 활동 기준(베이스라인)에서 벗어난 행위를 탐지 | 정상 기준 정의의 어려움, 정교한 위장 공격의 탐지 실패 가능성, 사후 탐지의 한계 |
5.2. 대응 전략과 절차
5.2. 대응 전략과 절차
제로 데이 공격이 확인되거나 의심될 경우, 체계적인 대응 절차를 신속히 실행하는 것이 피해를 최소화하는 핵심이다. 일반적인 대응은 탐지, 격리, 분석, 완화, 복구의 단계로 이루어진다.
첫 단계는 이상 징후를 탐지하는 것이다. IDS/IPS, EDR 솔루션의 알람, 네트워크 트래픽의 급증 또는 비정상적인 외부 연결 시도 등이 주된 신호가 된다. 탐지 즉시 사고 대응 팀을 소집하고 초동 조치를 시작한다. 주요 조치로는 감염이 의심되는 시스템의 네트워크 격리, 악성 프로세스의 강제 종료, 관련된 취약한 애플리케이션의 서비스 중지 등이 포함된다. 이 단계의 목표는 공격의 확산을 차단하는 것이다.
대응 단계 | 주요 활동 | 목표 |
|---|---|---|
탐지 및 평가 | 로그 분석, 알람 확인, 위협 인텔리전스와의 비교, 영향 범위 초기 평가 | 공격 사실 확인 및 심각도 판단 |
격리 및 차단 | 감염 시스템 네트워크 차단, 악성 프로세스 종료, 취약 서비스 중지 | 공격 확산 방지 |
근본 원인 분석 | 메모리 덤프 분석, 악성 코드 역공학, 공격 경로 및 취약점 식별 | |
완화 및 패치 적용 | 가상 패치(웹 방화벽 규칙), 컴펜서티브 컨트롤 적용, 벤더의 공식 패치 배포 후 즉시 적용 | 취약점을 통한 추가 공격 차단 |
복구 및 사후 처리 | 감염 시스템 청소 또는 재구성, 백업으로부터의 데이터 복원, 포렌식 증거 보존, 대응 과정 보고서 작성 | 정상 운영 상태로 복귀 및 향후 대비 |
분석 단계에서는 포렌식 도구를 활용해 메모리 덤프, 디스크 이미지, 네트워크 패킷 캡처 파일을 조사한다. 이를 통해 정확한 공격 벡터, 사용된 제로 데이 익스플로잇의 작동 방식, 유입 경로, 그리고 손상된 데이터의 범위를 파악한다. 분석 결과는 즉시 CERT나 관련 보안 벤더와 공유하여 다른 조직의 피해를 방지하는 데 기여한다. 장기적인 전략으로는 위협 모델링을 정기적으로 수행하고, 사고 대응 계획을 수립 및 연습하며, 엔드포인트 탐지 및 대응과 같은 고급 솔루션을 도입하는 것이 포함된다.
6. 방어 체계와 기술
6. 방어 체계와 기술
방어 체계는 제로 데이 공격을 완전히 차단하는 것은 어렵지만, 피해 가능성을 낮추고 발생 시 영향을 최소화하는 데 중점을 둔다. 사전 예방 조치로는 모든 시스템과 응용 소프트웨어를 최신 상태로 유지하는 패치 관리가 기본이다. 공격 표면을 줄이기 위해 불필요한 서비스와 포트를 차단하고, 최소 권한 원칙을 적용하며, 네트워크를 세그먼트로 분리하는 것이 중요하다. 또한 엔드포인트 보안 솔루션과 차세대 방화벽을 도입하여 알려지지 않은 위협에 대한 초기 방어선을 구축한다.
위협 인텔리전스는 방어의 핵심 요소이다. 공격자의 TTP나 새롭게 유포되는 악성 코드 샘플, 암시장 및 연구자 커뮤니티에서 유출되는 취약점 정보를 수집하고 분석한다. 이를 통해 아직 공식 패치가 나오지 않은 취약점에 대한 조기 경보를 받고, 유사한 공격 패턴에 대한 시그니처를 만들어 사전에 대응할 수 있다. 많은 기관과 기업은 전문 위협 인텔리전스 제공업체의 서비스를 구독하거나, 자체 분석 팀을 운영한다.
방어 접근법 | 주요 기술/전략 | 목적 |
|---|---|---|
사전 예방 | 패치 관리, 애플리케이션 화이트리싱, 시스템 강화 | 공격 표면 축소 및 알려진 취약점 제거 |
행위 기반 탐지 | EDR, 네트워크 트래픽 분석, 샌드박싱 | 정상적이지 않은 프로세스나 네트워크 활동 탐지 |
차단 및 격리 | 마이크로 세그멘테이션, 차세대 방화벽 규칙 | 공격의 확산 차단 및 피해 범위 제한 |
행위 기반 탐지는 알려지지 않은 공격을 발견하는 데 유용하다. 엔드포인트 탐지 및 대응 솔루션은 엔드포인트에서의 이상 행위를 모니터링하고, 의심스러운 프로세스 생성, 레지스트리 변경, 네트워크 연결 등을 실시간으로 분석한다. 네트워크 차원에서는 비정상적인 외부 연결 시도나 대량 데이터 유출 패턴을 탐지할 수 있다. 의심되는 파일은 격리된 환경인 샌드박스에서 실행하여 그 행위를 관찰하고 악성 여부를 판단한다. 이러한 다층적 방어 체계를 통해 제로 데이 공격의 위협을 효과적으로 관리한다.
6.1. 사전 예방 조치
6.1. 사전 예방 조치
소프트웨어 개발 수명 주기 초기 단계부터 보안을 고려하는 시큐어 코딩 관행을 적용하는 것이 기본이다. 정적·동적 애플리케이션 보안 테스트를 통해 코드의 결함을 조기에 발견하고 수정해야 한다. 또한, 최소 권한 원칙을 준수하고, 입력값 검증을 철저히 하며, 메모리 보호 기법을 사용하는 등 공격 표면을 최소화하는 설계가 필요하다.
정기적인 패치 관리는 알려진 취약점을 차단하는 핵심 수단이다. 운영체제, 응용 프로그램, 라이브러리, 펌웨어에 대한 보안 업데이트를 신속하게 적용해야 한다. 사용하지 않는 서비스나 포트는 비활성화하고, 방화벽과 침입 탐지 시스템을 구성하여 불필요한 네트워크 접근을 차단하는 것이 효과적이다.
애플리케이션 수준에서는 화이트리스트 기반의 실행 제어, 데이터 실행 방지, 주소 공간 배치 난수화 등의 기술을 활용할 수 있다. 엔드포인트 탐지 및 대응 솔루션을 배치하여 이상 행위를 모니터링하는 것도 중요하다.
조직 차원의 대비도 필수적이다. 직원 대상의 보안 인식 교육을 통해 피싱 메일이나 의심스러운 첨부 파일을 식별하고 신고할 수 있는 능력을 키워야 한다. 또한, 사고 대응 계획을 수립하고 정기적으로 훈련을 실시하여 실제 공격 발생 시 신속하게 대응할 수 있는 체계를 마련해야 한다.
6.2. 위협 인텔리전스
6.2. 위협 인텔리전스
위협 인텔리전스는 알려지지 않은 위협, 특히 제로 데이 공격에 대응하기 위한 핵심적인 방어 수단이다. 이는 사이버 위협에 관한 정보를 수집, 분석, 처리하여 조직의 의사 결정에 활용하는 체계적인 과정을 말한다. 제로 데이 공격은 사전에 알려지지 않은 취약점을 이용하기 때문에, 전통적인 시그니처 기반 탐지 방식으로는 방어가 거의 불가능하다. 따라서 위협 인텔리전스는 공격자의 동기, 능력, 전술, 기법, 절차를 사전에 이해하고 패턴을 분석함으로써, 아직 공식적으로 보고되지 않은 공격에 대한 조기 경보와 사전 대응을 가능하게 한다.
위협 인텔리전스는 일반적으로 전략적, 작전적, 기술적 수준으로 구분된다. 제로 데이 위협에 가장 직접적으로 대응하는 것은 기술적 위협 인텔리전스이다. 이는 악성코드 샘플, 익스플로잇 코드, 공격 지표, 네트워크 트래픽 패턴 등의 원시 데이터를 분석하여 특정 공격 캠페인이나 위협 행위자를 식별하는 데 초점을 맞춘다. 예를 들어, 다크웹이나 해킹 포럼에서 유출된 익스플로잇 키트 정보를 모니터링하거나, 다른 조직에서 발생한 유사한 공격 사례의 지표를 공유받아 자신의 환경에서 탐지 규칙을 선제적으로 업데이트할 수 있다.
효과적인 위협 인텔리전스를 구축하기 위해서는 다양한 정보원으로부터 데이터를 수집하고 상관 관계를 분석해야 한다. 주요 정보원은 다음과 같다.
정보원 유형 | 설명 | 제로 데이 대응 관련성 |
|---|---|---|
오픈 소스 인텔리전스(OSINT) | 공개적으로 접근 가능한 웹, 포럼, SNS, 학술 논문 등 | 새로운 취약점 논의나 익스플로잇 개념 증명 코드의 초기 발견 |
상용 위협 인텔리전스 | 전문 업체로부터 구매하는 가공된 위협 정보 피드 | 다양한 고객 기반에서 수집된 광범위한 공격 데이터와 분석 리포트 제공 |
정보 공유 커뮤니티(ISAC/ISAO) | 동일 산업군 내 기관들이 위협 정보를 공유하는 조직 | 동일 산업을 노리는 공격자의 신규 전술에 대한 조기 경보 공유 |
내부 로그 및 데이터 | 조직 내부의 네트워크, 엔드포인트, 애플리케이션 로그 | 정상적인 행위 기준선을 설정하고, 미세한 이상 징후를 탐지하는 기초 자료 |
수집된 정보는 자동화된 플랫폼을 통해 정제, 분석, 상관 관계가 설정된 후, 대응 가능한 형태로 보안 운영팀에 전달된다. 이를 통해 제로 데이 익스플로잇이 사용하는 무파일 공격이나 정상 프로세스 위장 등의 위험한 행위를 사전에 차단하거나, 공격 초기 단계에서 빠르게 격리하는 것이 목표이다. 결국, 위협 인텔리전스는 알려지지 않은 공격에 대해 사후 대응이 아닌 사전 예방적 방어 태세를 구축하는 데 필수적인 요소이다.
6.3. 행위 기반 탐지
6.3. 행위 기반 탐지
제로 데이 공격은 알려진 시그니처가 없기 때문에 전통적인 안티바이러스 소프트웨어나 침입 탐지 시스템으로는 탐지하기 매우 어렵다. 이에 대한 대응으로, 공격의 정적 특징이 아닌 실행 과정에서 나타나는 이상 행위나 패턴을 분석하여 위협을 찾아내는 행위 기반 탐지 기법이 발전했다.
행위 기반 탐지 시스템은 일반적으로 호스트 기반 침입 방지 시스템이나 엔드포인트 탐지 및 대응 플랫폼에 통합되어 운영된다. 주요 분석 대상은 다음과 같다.
분석 대상 | 설명 |
|---|---|
프로세스 행위 | 정상적인 프로세스가 수행하지 않는 메모리 영역 접근, 코드 삽입, 권한 상승 시도 등을 모니터링한다. |
파일 시스템 활동 | 대량의 파일 암호화, 중요한 시스템 파일 수정, 정상적이지 않은 파일 접근 패턴을 감시한다. |
네트워크 통신 | 내부에서 외부로의 비정상적 데이터 유출, 알려지지 않은 C2 서버와의 통신, 평소와 다른 포트 사용을 탐지한다. |
이러한 시스템은 머신 러닝과 휴리스틱 분석을 활용해 정상적인 소프트웨어 행위의 베이스라인을 수립하고, 이를 벗어나는 편차를 잠재적 위협으로 판단한다. 예를 들어, 문서 편집기 프로세스가 갑자기 네트워크 포트를 스캔하거나 시스템 레지스트리를 광범위하게 수정하는 행위는 강력한 위협 지표가 된다. 탐지가 이루어지면 시스템은 해당 프로세스를 차단하거나 격리하며, 사고 대응 팀에게 상세한 경고와 포렌식 데이터를 제공한다.
7. 법적·윤리적 쟁점
7. 법적·윤리적 쟁점
취약점을 발견한 연구자나 조직이 이를 어떻게 처리해야 하는지에 대한 윤리적 기준과 법적 프레임워크는 지속적인 논쟁의 대상이다. 핵심 쟁점은 책임 있는 공개 정책을 둘러싼 논의이다. 이 정책은 취약점을 먼저 해당 소프트웨어 제조사에 비공개로 보고하고, 제조사가 패치를 개발하고 배포할 수 있는 합리적인 기간을 준 후에야 공개적으로 알리는 것을 원칙으로 한다. 이는 악의적인 공격자에게 정보를 제공하는 위험을 최소화하면서도 궁극적으로 보안을 개선하려는 목적을 가진다. 그러나 제조사의 대응이 느리거나 미흡할 경우, 공개 시점을 놓고 갈등이 발생하기도 한다.
취약점의 거래, 특히 비공개 시장에서의 거래는 또 다른 주요 윤리적·법적 문제를 제기한다. 취약점 거래 시장에서는 제로 데이 익스플로잇이 정부 기관, 법 집행 기관, 또는 민간 보안 회사에 상당한 금액에 판매된다. 옹호자들은 이러한 시장이 연구 활동에 대한 인센티브를 제공하고, 합법적인 기관이 위협을 사전에 이해하는 데 도움이 된다고 주장한다. 반면 비판자들은 이로 인해 취약점이 공공의 이익을 위한 패치 개발보다는 비밀리에 악용될 가능성이 높아지며, 사이버 군비 경쟁을 촉진한다고 지적한다.
국가 주도의 사이버 공격과 사이버 간첩 활동에서 제로 데이 취약점의 사용은 국제법과 외교적 분쟁의 영역으로 이어진다. 한 국가가 다른 국가의 중요 기반 시설을 표적으로 삼는 공격에 제로 데이 익스플로잇을 사용할 경우, 이는 전통적인 무력 충돌에 준하는 것으로 간주되어야 하는지에 대한 논의가 진행 중이다. 또한, 국가 기관이 민간 시장에서 취약점을 대량으로 구매하거나 보유하는 행위는 전 세계적인 디지털 생태계의 전반적인 보안을 약화시킨다는 비판을 받는다.
이러한 복잡한 문제들을 해결하기 위해 일부 국가와 국제 기구는 자발적인 가이드라인이나 규제를 모색하고 있다. 예를 들어, 특정 조건 하에서의 취약점 거래를 규제하거나, 국가적 취약점 공개 정책을 수립하여 취약점 처리 절차를 명시하는 노력이 있다. 그러나 글로벌 합의를 이루는 것은 어려운 과제로 남아 있다.
7.1. 책임 공개 정책
7.1. 책임 공개 정책
책임 있는 공개 정책은 제로 데이 취약점을 발견한 연구자나 기관이 해당 취약점 정보를 어떻게 처리해야 하는지에 관한 일련의 원칙과 절차를 말한다. 핵심 목표는 취약점 정보가 악의적인 공격자에게 먼저 유출되거나 무분별하게 공개되어 피해가 확산되는 것을 방지하면서, 동시에 해당 소프트웨어 제공업체나 시스템 소유자에게 수정할 기회를 제공하는 데 있다. 일반적으로 취약점을 발견한 개인 또는 팀은 먼저 해당 벤더에게 비공개로 통보하고, 벤더는 합리적인 기간 내에 패치를 개발하여 배포한다. 이후 협의된 날짜에 취약점 세부 정보가 공개된다.
이 정책의 실행은 발견자, 벤더, 사용자 간의 이해관계 조율이 필요하기 때문에 복잡한 문제를 내포한다. 주요 쟁점은 적절한 공개 시점과 방식이다. 벤더에게만 통보하고 장기간 비공개로 유지할 경우, 해당 정보가 제3자에게 유출되어 제로 데이 공격에 활용될 위험이 있다. 반면, 즉시 공개하면 벤더가 패치를 만들기 전에 공격자가 취약점을 악용할 수 있는 창구가 넓어지게 된다. 따라서 대부분의 정책은 45일에서 90일 사이의 유예 기간을 두는 것을 표준으로 삼는다.
책임 있는 공개 프로세스를 공식화한 대표적인 예로 CERT/CC나 각국의 CERT 기관의 중재 역할, 그리고 주요 IT 기업들의 자체 보상 프로그램이 있다. 또한, 국제적으로 인정받는 가이드라인으로는 ISO/IEC 29147(취약점 공개)와 ISO/IEC 30111(취약점 처리 과정) 표준이 있다. 이러한 프레임워크는 정보 공유의 투명성과 예측 가능성을 높이는 데 기여한다.
주체 | 일반적인 역할과 책임 |
|---|---|
취약점 발견자 | 벤더에게 비공개 통보, 협의된 절차 준수, 조기 공개 자제 |
소프트웨어 벤더 | 통보 접수 및 확인, 패치 개발, 정해진 기한 내 업데이트 배포 |
중재 기관 (예: CERT) | 양측 간 조정, 통신 촉진, 합의가 이루어지지 않을 경우 공개 결정 |
최종 사용자/시스템 관리자 | 배포된 보안 패치를 신속하게 적용 |
그러나 이 정책이 항상 순조롭게 적용되지는 않는다. 벤더의 대응이 느리거나 무관심한 경우, 발견자가 일정 기간 후 전체 정보를 공개하는 '책임 있는 공개'를 실시하기도 한다. 반면, 금전적 이익을 위해 취약점 정보를 암시장에 판매하는 등의 비윤리적 행위와의 경계도 분명하지 않은 경우가 있어 윤리적 논란을 불러일으키곤 한다.
7.2. 취약점 거래와 국가 활동
7.2. 취약점 거래와 국가 활동
제로 데이 취약점의 거래는 주로 비공개 시장에서 이루어지며, 판매자, 중개인, 구매자로 구성된 복잡한 생태계를 형성한다. 구매자는 주로 사이버 보안 연구원, 정부 기관, 범죄 조직 등이다. 취약점 정보와 이를 활용한 익스플로잇 코드는 일반적으로 높은 가격에 거래되며, 그 가치는 표적 시스템의 중요성, 취약점의 영향 범위, 탐지 난이도에 따라 결정된다[4]. 이러한 시장의 존재는 소프트웨어 보안에 대한 이중적 영향을 미친다. 한편으로는 연구자들에게 경제적 인센티브를 제공해 취약점 발견을 촉진하지만, 다른 한편으로는 악의적 공격자에게 위험한 도구를 공급하는 경로가 되기도 한다.
국가 차원에서의 활동은 사이버 전쟁과 사이버 첩보 활동의 핵심 요소가 되었다. 여러 국가가 공격적 사이버 작전을 위해 제로 데이 능력을 개발 및 축적하는 것으로 알려져 있다. 이러한 국가 주도의 활동은 주로 정보 수집, 표적 감시, 전통적 군사 작전을 지원하거나, 적국의 핵심 인프라를 교란하는 목적으로 사용된다. 대표적인 사례로 2010년 스턱스넷 공격이 있으며, 이는 이란의 우라늄 농축 시설을 표적으로 삼은 것으로 추정되는 국가 차원의 작전에서 제로 데이 취약점이 사용되었다.
국가 활동과 취약점 거래는 심각한 윤리적 및 안보적 딜레마를 제기한다. 국가 기관이 민간 시장에서 취약점을 구매하거나, 발견한 취약점을 공개하지 않고 비밀리에 보유하는 행위는 일반 시민을 포함한 광범위한 사용자를 위험에 빠뜨린다는 비판을 받는다. 이는 "책임 있는 공개" 원칙과 충돌한다. 또한, 국가 간 사이버 군비 경쟁을 촉진하여 국제적 긴장을 높이는 요인으로 작용하기도 한다. 이에 따라 일부 국가에서는 취약점 공개 프로세스에 관한 정책을 수립하거나, 국제적 규범 마련을 위한 논의가 진행되고 있다.
