제로 데이 공격 대응 전략

By PLURA 2025-02-23

🕵️‍♂️ 최근 사이버 공격은 더 이상 “알려진 악성코드”만으로 움직이지 않습니다.
패치되기 전 취약점을 노리는 제로데이 공격과, 기존 탐지 규칙에 잡히지 않는 알려지지 않은 공격은 전통적인 시그니처 기반 방어를 쉽게 우회합니다.

그래서 지금 중요한 질문은 이것입니다.

“이 공격이 무엇인지 이미 알고 있는가?” 가 아니라
“처음 보는 공격이라도 이상한 흐름으로 알아차릴 수 있는가?” 입니다.

이 글에서는 제로데이와 알려지지 않은 공격을 어떻게 이해해야 하는지,
왜 전체 웹 로그 분석과 행위 기반 탐지가 중요한지,
그리고 PLURA-XDR이 이 지점에서 어떤 역할을 할 수 있는지를 정리합니다.

Zero-day Attack

1. 제로데이와 알려지지 않은 공격은 무엇이 다른가

1) 제로데이 공격이란?

제로데이 공격은 보안 취약점이 공개되거나 패치되기 전에 악용되는 공격입니다.
즉, 방어하는 쪽은 아직 규칙도, 패치도, 충분한 대응 경험도 없는 상태에서 공격을 받게 됩니다.

2) 알려지지 않은 공격(Unknown Attack)이란?

반드시 “새 취약점”이 아니더라도,
보안 솔루션이 이전에 본 적 없는 조합이나 방식으로 들어오는 공격을 뜻합니다.

예를 들어,

정상 기능처럼 보이는 API 호출 조합
기존 룰을 피하는 인코딩 변형
정상 계정을 악용한 권한 우회
웹 요청 이후 서버 내부 행위를 연결해야만 보이는 침해 흐름

이런 것들은 “새로운 악성코드”가 아니어도 충분히 알려지지 않은 공격이 될 수 있습니다.

2. 왜 시그니처 기반 탐지만으로는 부족한가

전통적인 보안 장비는 대체로 “이미 알려진 패턴”을 찾는 데 강합니다.
하지만 제로데이와 알려지지 않은 공격은 애초에 그 전제를 깨뜨립니다.

특히 최신 OWASP Top 10 2025에서도
Broken Access Control이 1위, Security Misconfiguration이 2위로 유지되고 있습니다.
즉, 지금도 가장 큰 위험은 복잡한 악성코드보다
권한 통제 실패와 잘못된 설정에서 시작되는 경우가 많다는 뜻입니다.

또 API 보안에서는 Broken Object Level Authorization과 Broken Authentication이 상위 위험입니다.
이는 공격자가 단순한 문자열 공격보다,
객체 ID 조작이나 인증 흐름 악용으로 더 쉽게 우회할 수 있음을 보여 줍니다.

즉, 문제는 “새로운 CVE를 몰라서”만이 아닙니다.
정상처럼 보이는 요청을 정상이라고 착각하는 것도 제로데이 대응 실패의 한 원인입니다.

3. 제로데이 대응의 핵심은 “이상 징후”를 보는 것이다

제로데이 공격은 보통 이렇게 드러납니다.

평소와 다른 요청 순서
정상 사용자와 다른 호출 빈도
비정상적인 파라미터 조합
예상하지 못한 API path 접근
정상 응답(200) 뒤 이어지는 서버 내부 이상 행위
짧은 시간 안에 권한 상승 또는 외부 연결 발생

즉, 악성 문자열 하나보다
공격 흐름 전체의 이상함이 더 중요합니다.

대응의 핵심 축

이상 행동 분석: 정상 트래픽과 다른 요청 흐름을 감지
전수 로그 분석: 단일 이벤트가 아니라 연속 패턴으로 보기
문맥 기반 판단: 요청, 응답, 계정, 시간대, 이후 행위를 함께 보기
자동화된 대응: 기준을 넘는 이상 흐름이 보이면 즉시 차단 또는 격리
지속 검증: Zero Trust처럼 모든 접근을 계속 의심하고 검증

4. 웹 전체 로그 분석이 왜 중요한가

많은 보안 장비는 차단된 공격만 잘 보여 줍니다.
하지만 제로데이와 알려지지 않은 공격은 종종 차단되지 않은 채 정상처럼 지나갑니다.

그래서 핵심은 다음입니다.

차단된 로그가 아니라,
차단되지 않았지만 이상한 로그를 봐야 한다.

1) 단일 요청이 아닌 전체 흐름 분석

개별 요청만 보면 정상일 수 있습니다.
하지만 전체 흐름으로 보면 공격 패턴이 드러납니다.

예:

1분 안에 수백~수천 번의 로그인 시도
여러 계정을 빠르게 바꿔가며 시도
같은 IP가 다른 User-Agent를 반복 변경

이 경우 단순 로그인 실패가 아니라
Credential Stuffing 가능성이 높습니다.

2) 웹쉘 업로드 및 이후 실행 탐지

웹쉘 공격은 업로드 자체보다
업로드 후 어떤 요청이 이어졌는가가 더 중요합니다.

예:

파일 업로드 요청 직후
새로 올라간 경로로 접근
이후 명령 실행형 파라미터 호출
서버에서 비정상 프로세스 생성

즉, 업로드 이벤트 하나보다
업로드 → 접근 → 실행 흐름을 함께 봐야 합니다.

3) 파라미터 변조 탐지

공격자는 요청 본문, URL, 쿠키, 헤더를 조작합니다.

예:

가격 파라미터 조작
객체 ID 변경
관리자 권한 필드 변형
JSON body 안쪽의 속성 값 변조

특히 API에서는 이런 변조가
Broken Object Level Authorization과 연결되는 경우가 많습니다.
OWASP API Security도 객체 ID 조작이 path, query, header, payload 어디서든 발생할 수 있다고 설명합니다.

4) API 오남용 탐지

요즘 웹 공격은 페이지보다 API를 더 많이 노립니다.

예:

정상 사용량을 넘어서는 호출
GraphQL batching 또는 비정상 페이로드
모바일 앱 API를 브라우저가 직접 호출
인증 토큰을 돌려 쓰는 패턴

OWASP API Security 2023은 인증 흐름과 객체 접근 통제가 여전히 핵심 위험이라고 봅니다.

5) DDoS 이전 단계와 이상 트래픽 감지

DDoS도 갑자기 시작되는 것이 아니라,
사전 정찰과 소규모 테스트 호출이 먼저 보이는 경우가 있습니다.

예:

특정 시간대의 점진적 요청 증가
특정 리소스에만 집중된 호출
분산 IP지만 동일 패턴의 URI 접근

이런 신호를 미리 보면
완전한 서비스 마비 이전에 대응할 수 있습니다.

5. 실제로 어떤 패턴을 잡아야 하는가

이 부분이 가장 중요합니다.
“이상하다”는 말만으로는 운영이 되지 않습니다.

예시 A. 제로데이형 웹 악용 징후

평소 거의 쓰이지 않는 API path 접근
정상 사용자와 다른 HTTP method 조합
특정 body 필드에만 높은 엔트로피 값 반복
200 응답이 나가는데 이후 서버 오류나 자식 프로세스 실행 발생

예시 B. 계정 탈취형 공격 징후

동일 계정의 비정상 시간대 로그인
로그인 직후 민감 기능 호출
곧바로 대량 조회 또는 다운로드
이후 다른 계정으로의 수평 이동 시도

MITRE ATT&CK 관점에서는 이런 흐름이
Valid Accounts(T1078) 같은 기법과 연결될 수 있습니다. 공격자는 탈취한 정상 계정을 사용해 초기 접근, 지속성, 권한 상승, 방어 회피까지 이어갈 수 있습니다.

예시 C. 웹 공격 이후 서버 행위 징후

웹 요청 직후 powershell.exe 실행
예약 작업 또는 레지스트리 변경
외부 IP 연결
동일 호스트에서 반복 실행

이런 흐름은 단순 웹 로그만으로는 부족하고,
웹 로그 + 엔드포인트 로그가 함께 있어야 보입니다.
MITRE ATT&CK에서도 PowerShell은 공격자가 코드 실행과 정보 수집에 자주 악용하는 기법으로 분류됩니다.

6. PLURA-XDR은 여기서 무엇을 다르게 하나

이 지점에서 중요한 것은
“제로데이 이름을 먼저 맞히는가”가 아닙니다.

더 중요한 것은,

요청 본문과 파라미터를 보고
정상과 다른 요청 흐름을 묶고
이후 서버 내부 행위까지 연결해
하나의 사건으로 빠르게 이해하게 만드는가

입니다.

PLURA-XDR의 의미는
단순히 SIEM처럼 로그를 모으는 것이 아니라,
웹 요청 → 응답 → 계정 → 서버 행위 → 외부 연결을
하나의 흐름으로 재구성하는 데 있습니다.

예를 들어,

비정상 API 요청
직후 200 응답
이후 서버에서 PowerShell 실행
외부 연결 발생

이런 흐름이 보이면
그 요청은 더 이상 단순 웹 요청이 아니라
침해 사고의 시작점으로 볼 수 있습니다.

즉, PLURA-XDR은 제로데이를 “사전 지식”으로 막는 것이 아니라,
근거 기반 로그와 상관 분석으로 ‘지금 일어나고 있는 공격’을 이해하게 만드는 도구에 가깝습니다.

7. MITRE ATT&CK 관점에서 보면 더 잘 보인다

제로데이 공격도 결국은 완전히 새로운 우주선이 아닙니다.
많은 경우, 기존 ATT&CK 전술과 기법의 새로운 조합으로 나타납니다.

예를 들면,

Initial Access: 웹 취약점 악용, API 남용, 탈취 계정 사용
Execution: PowerShell, 스크립트, 웹쉘
Persistence: 예약 작업, Run key, 서비스 등록
Command and Control: 외부 연결, 웹 프로토콜 사용
Credential Access / Discovery: 내부 정찰과 권한 확인

MITRE ATT&CK는 실제 공격자의 전술과 기법을 정리한 지식 기반입니다.
따라서 제로데이도 결국 행위 흐름으로 보면 익숙한 TTP 조합으로 보일 수 있습니다. :contentReference[oaicite:8]{index=8}

8. 지금 당장 점검할 수 있는 3가지

1) 요청 본문(Request Body)까지 보고 있는가?

URI와 상태 코드만으로는 부족합니다.
JSON body, 파라미터, API payload를 보지 못하면
제로데이와 우회 공격은 쉽게 지나갑니다.

2) 웹 요청 이후 서버 행위까지 연결해서 보는가?

웹 공격은 웹에서 끝나지 않습니다.
프로세스 실행, 외부 연결, 계정 사용까지 이어서 봐야 합니다.

3) 차단된 공격이 아니라 “차단되지 않은 이상한 요청”을 보고 있는가?

제로데이 대응의 핵심은
차단 성공 로그가 아니라 탐지 실패 로그를 다음 탐지의 근거로 바꾸는 것입니다.

✍️ 결론

제로데이 공격과 알려지지 않은 공격을 효과적으로 막으려면
시그니처 기반 탐지에서 한 걸음 더 나가야 합니다.

핵심은 명확합니다.

전체 웹 로그를 보고
이상 징후를 흐름으로 묶고
서버 내부 행위까지 연결해서
빠르게 차단과 대응으로 이어가는 것

지금의 보안은 “알려진 공격을 막는가”보다
처음 보는 공격이라도 이상한 흐름으로 알아차릴 수 있는가가 더 중요합니다.

결국 제로데이 대응의 핵심은 이것입니다.

공격 이름을 아는 것보다,
공격이 지금 진행 중이라는 사실을 먼저 알아차리는 것.

📖 함께 보고 & 읽기

📚 PLURA Blog

웹의 전체 로그 분석은 왜 중요한가?