‘마이크로소프트 윈도우 디펜더’의 제로데이 취약점 ‘CVE-2024-21412’ 발견
트렌드마이크로, ‘제로데이 이니셔티브’로 취약점 발견 및 보호 조치 발표
[보안뉴스 이소미 기자] 최근 사이버 범죄자들이 지속적으로 악용하고 있는 ‘마이크로소프트 윈도우 디펜더(Microsoft Windows Defender)’의 취약점이 발견됐다. 해당 취약점은 ‘CVE-2024-21412’으로 사이버 위협 그룹인 ‘워터 하이드라(Water Hydra)’가 적극적으로 악용하고 있는 것으로 파악됐다. 이에 글로벌 사이버 보안기업 트렌드마이크로(지사장 김진광)는 기업들이 즉각적인 보호 조치를 진행해야 한다고 권장했다.
[이미지=gettyimagesbank]
해당 취약점(CVE-2024-21412)은 트렌드마이크로의 ‘제로데이 이니셔티브™(ZDI)’가 마이크로소프트에 공개한 활성 제로데이 취약점으로 처음 알려졌다.
트렌드마이크로는 지난해 12월 31일 해당 취약점을 발견한 즉시 보호 조치했으며, 올해 1월 17일부터 마이크로소프트의 제로데이를 포함한 패치 출시 평균 51일 전부터 빠르게 가상 패치를 배포하고 고객들을 보호하고 있다고 밝혔다. 이러한 발빠른 조치로 지난해 가상 패치를 적용한 트렌드마이크로의 고객들은 평균 100만 달러의 비용을 절감한 것으로 추산된다.
데이터뱅크 마크 훕트(Mark Houpt) 최고정보보호책임자(CISO)는 “우리는 트렌드마이크로의 보호 아래 이점들을 직접 경험했으며 탁월한 위협 인텔리전스 덕분에 새로운 위협으로부터 선제적으로 보호 조치 받을 수 있었다”면서, “가상 패치를 구현함으로써 우리는 잠재적인 익스플로잇 시도에 앞서 시스템을 보호하고 공식 패치가 제공되기 이전부터 시스템을 안전하게 보호하고 있다는 확신을 가졌다”고 말했다. 이어 “이는 사이버 보안 전략의 중요한 부분으로 잠재적인 침해 예방 측면에서 안심할 수 있었으며 상당한 비용을 절감할 수 있었다”고 덧붙였다.
이처럼 트렌드마이크로는 새로운 제로데이 취약점이 발견되면 공급업체에 책임감 있게 공개하고 고객을 대상으로 공식 패치가 적용되기 전, 가상 패치를 통해 익스플로잇으로부터 시스템 보호 서비스를 제공한다.
트렌드마이크로 케빈 심저(Kevin Simzer) 최고운영책임자(COO)는 “제로데이 취약점은 위협 공격자들이 자신들의 목표 달성을 위해 많이 사용하는 방법으로 우리가 위협 인텔리전스에 집중적으로 투자하는 이유”라면서, “이를 통해 공급업체의 공식 패치가 출시되기 몇 달 전부터 고객을 보호할 수 있다”고 말했다.
심각한 문제는 공격자들이 여러 산업 및 조직을 노려 악의적인 목적으로 취약점을 악용한다는 것이다. 특히 금전 탈취를 목적으로 하는 APT 그룹이 고액 외환 거래 시장에 참여하는 외환 트레이더를 타깃으로 해당 취약점을 적극적으로 악용하고 있는 것으로 나타났다.
이같은 공격은 정교한 제로데이 공격 체인에 사용돼 ‘윈도우 디펜더(Windows Defender) 스마트 스크린’ 우회를 가능하게 하고, 잠재적인 데이터 탈취 및 랜섬웨어 피해를 입히기 위해 사용자가 ‘DarkMe 원격 액세스 트로이목마(RAT)’에 감염되도록 설계됐다.
이러한 지능형 위협을 완화하기 위해 트렌드마이크로의 침입방지 시스템(IPS) 기능은 여러 방어 계층을 사용하는 CVE-2024-21412의 악용을 차단해 가상 패치를 제공한다.
‘Trend Vision One™’은 중요한 취약점을 자동 식별하고, 모든 엔드포인트 및 조직의 전체 리스크에 미칠 수 있는 영향에 대한 가시성을 제공한다. 이를 통해 위험 관리에 대한 사전 예방 접근 방식으로 미리 고객이 안심하고 위험에 대한 준비를 갖춰 ‘당일’에 사후 대응 조치를 급하게 취해야 하는 긴박한 상황을 완화시킬 수 있다.
이와 달리 레거시 엔드포인트 탐지 및 대응(EDR) 접근 방식에 의존하는 조직은 공격자가 탐지 회피 등의 고급 기술을 사용할 경우 위협에 그대로 노출될 수 있다. 따라서 트렌드마이크로의 버그바운티 프로그램 ‘ZDI’의 인텔리전스 검색 후 가상 패치에 제공하는 기능은 주요 동향에 비추어 볼 때 점점 더 중요해지고 있다.
해당 동향들을 살펴보면 첫째, 사이버 범죄 그룹이 발견한 제로데이 취약점이 ‘APT28’, ‘APT29’, ‘APT40’과 같은 국가 그룹에 의해 공격 체인 배포 범위가 확대되고 있다. 둘째, ‘CVE-2024-21412’는 ‘CVE-2023-36025’를 우회한 것으로 APT 그룹이 소규모 공급업체 패치를 상당히 쉽게 식별·우회가 가능하다는 것을 보여준다.
한편, 이번 마이크로소프트 윈도우 디펜더 제로데이 취약점 문제에 대한 자세한 기술 정보 및 내용은 트렌드마이크로 웹사이트를 통해 확인할 수 있다.
문제가 될 시 삭제하겠습니다.
