구글 위협 인텔리전스 그룹(GTIG)은 지난해 발생한 제로데이 공격의 절반이 기업을 겨냥한 것으로 나타났다고 6일 밝혔다.
GTIG는 이날 제로데이 공격 환경에서 나타난 구조적∙기술적 변화를 분석한 보고서를 발간했다. 제로데이 공격은 아직 패치(취약점을 수정하는 보안 업데이트)가 없는 소프트웨어의 취약점을 찾아 공격하는 기술이다. 취약점이 공개된 지 0일(Zero day)로, 개발자가 대응할 시간이 0일이라는 의미다.
보고서에 따르면 지난해 발생한 제로데이 취약점 공격 90건의 절반에 가까운 48%가 엔터프라이즈(기업) 기술을 노린 것으로 조사됐다. 공격자들은 엔드포인트 탐지·대응(EDR) 기술이 부족한 보안 및 네트워킹 도구, 그중에서도 에지 디바이스(직접 데이터를 처리하는 기기)를 집중 공략했다. 엔터프라이즈 공격의 증가 추세는 2024년부터 시작됐으며, 지난해 취약점의 개수와 비율 모두 역대 최고치를 기록했다.
공격 주체에도 변화가 포착됐다. 과거에는 특정 국가의 지원을 받는 해커 조직이 제로데이 공격을 주도했으나, 지난해에는 GTIG가 관련 조사를 시작한 이래 처음으로 상업용 감시 소프트웨어 제작 업체(CSV)가 주도한 제로데이 공격이 국가 지원 해커 그룹의 공격 사례를 능가했다. 보고서는 "이는 제로데이 공격 수단에 대한 접근 권한이 더 넓은 대상으로 확대되고 있음을 시사한다"고 설명했다.
국가 지원 해커 그룹 중에는 중국 연계 사이버 스파이 그룹의 활동이 가장 왕성했던 것으로 나타났다. 반면, 북한 해커 그룹이 주도한 제로데이 공격은 감지되지 않았다.
또 일부 스파이 그룹이 기업의 소스 코드와 독자적인 개발 문서와 같은 지식재산(IP)을 탈취한 뒤 피해 기업의 소프트웨어나 고객을 겨냥한 새로운 제로데이 무기를 개발하면서 장기적인 위협으로 부상하고 있다고 평가했다. 공격자들이 탈취한 소스 코드를 분석해 해당 소프트웨어의 또 다른 제로데이 취약점을 찾아내고, 이를 다시 공격에 활용하는 악순환 구조를 만들고 있다는 설명이다.
GTIG는 AI가 올해 공격자와 방어자 간 경쟁을 가속화할 것이라고 전망했다. 보고서는 "AI는 정찰, 취약점 발견, 공격 코드 개발 속도를 높일 것이며, 이는 방어자들이 제로데이 공격을 탐지하고 대응하는 데 더 큰 압박으로 작용할 것"이라며 "방어자들은 이에 맞서 AI 에이전트를 활용해 보안 결함을 선제적으로 찾고 패치 작업을 강화하면서, 취약점이 악용되기 전 이를 무력화하는 데 집중할 것으로 예상된다"고 했다.