2025년 제로데이 90건 역대 최고. Chrome만 4건, iOS 익스플로잇 2,000만 달러. 진짜 위험한 건 패치가 있는데 적용하지 않는 N-day다. 제로데이 시장부터 방어 전략까지.
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
2025년, 야생에서 악용된 제로데이는 90건이다. Google Threat Intelligence Group(GTIG)이 추적한 역대 최고 기록이다. 그중 48%(43건)가 기업 제품을 노렸다. VPN, 방화벽, 네트워크 장비가 주요 표적이었다.
그런데 진짜 위험한 건 제로데이가 아닐 수 있다. 2025년 Mandiant M-Trends 데이터에 따르면, 악용된 취약점의 32.1%는 CVE 공개일 당일 또는 그 이전에 무기화됐다. 나머지 67.9%는 패치가 이미 존재하는 N-day였다. 패치가 있는데도 적용하지 않아 뚫리는 것이다.
| 용어 | 의미 | 패치 존재 |
|---|---|---|
| 제로데이(0-day) | 벤더도 모르는 취약점. 패치가 없다 | 없음 |
| 1-day | 패치가 공개됐지만 아직 적용 안 된 상태 | 있음 (미적용) |
| N-day | 패치 공개 후 N일이 지난 취약점 | 있음 (오래 방치) |
공격자 입장에서 제로데이는 비싸다. 1-day는 무료다. CVE가 공개되면 공격 코드(PoC)가 수 시간 내에 GitHub에 올라온다. 28.3%의 익스플로잇이 CVE 공개 24시간 이내에 무기화됐다.
제로데이 브로커 시장은 합법과 불법의 경계에 있다.
| 대상 | 가격 범위 |
|---|---|
| iOS 풀체인 (제로클릭) | $200만 ~ $2,000만 |
| Android 풀체인 | $250만 ~ $500만 |
| Chrome 샌드박스 탈출 | ~$50만 |
| Windows LPE | $8만 ~ $40만 |
Zerodium(미국)이 iOS에 200만 달러, Crowdfense(UAE)가 700만 달러를 제시한다. Operation Zero(러시아)는 2025년 8월 iOS/Android 풀체인에 2,000만 달러를 공개했다. 역대 최고 공개 가격이다. 이 회사는 "비서방 정부 고객만 받는다"고 명시한다.
가격이 오르는 이유가 있다. Apple과 Google이 방어를 강화하면서 단일 버그로 원격 코드 실행(RCE)을 달성하기 어려워졌다. PAC(Pointer Authentication), MTE(Memory Tagging Extension), V8 샌드박싱 같은 기술이 추가됐다.
이제 같은 결과를 얻으려면 3~5개의 버그를 체이닝해야 한다. 체인의 각 링크가 가격을 곱한다.
2026년 4월까지 Chrome에서만 4건의 제로데이가 실제 공격에 악용됐다.
| CVE | 시기 | 취약점 유형 |
|---|---|---|
| 2월 | CSSFontFeatureValuesMap Iterator 무효화 | |
| 3월 | Skia 그래픽 라이브러리 OOB Write | |
| 3월 | V8 엔진 부적절한 구현 | |
| 4월 | Dawn(WebGPU) Use-After-Free |
4개월에 4건이면 매달 1건씩 Chrome 제로데이가 터지고 있다. 2025년에는 VPN/방화벽 등 네트워크 장비가 주 표적이었다. Ivanti Connect Secure(), Juniper 라우터(), Cisco, Fortinet이 연달아 뚫렸다.
GTIG에 따르면 2025년 제로데이의 절반이 네트워크/보안 어플라이언스를 노렸다. 경계를 지키는 장비가 오히려 침입 경로가 되는 역설이다.
공격자가 취약점을 무기화하는 데 걸리는 시간은 평균 15일 이내다. 기업이 패치를 적용하는 데 걸리는 시간은 30~60일이다. 이 2~4배 차이가 패치 갭이다.
패치 갭: 구조적 문제
비상 패치가 아닌 일반 패치의 평균 적용 시간은 60~150일이다. 이 기간 동안 N-day 공격이 가능하다. 제로데이보다 N-day가 더 위험한 이유다.
제로데이는 비싸고 희소하다. N-day는 무료이고 어디에나 있다.
CISA의 KEV(Known Exploited Vulnerabilities) 카탈로그는 2026년 4월 기준 약 1,559건이다. 2025년에만 245건이 추가됐다. 이 목록에 올라온 취약점은 "이미 공격에 사용되고 있다"는 뜻이다.
한국인터넷진흥원(KISA) 데이터에 따르면, 2025년 상반기 침해사고 신고 건수는 1,034건이다. 전년 대비 약 15% 증가했다. Samsung SDS의 2026년 위협 전망 보고서는 제로데이 + 공급망 다단계 공격을 최우선 위협으로 지목했다.
한국 기업의 평균 패치 적용 시간은 글로벌 평균과 크게 다르지 않다. 금융/공공 부문은 변경 관리 절차 때문에 패치에 2~4주가 추가로 소요된다. 이 기간이 곧 N-day 공격 기회다.
Axios npm 하이재킹(#323)이 대표적 사례다. 제로데이가 아니라 메인테이너의 크리덴셜을 탈취하는 사회공학 공격이었지만, 결과적으로 주간 1억 다운로드 라이브러리에 RAT가 심어졌다. 기술적 취약점이 아니라 사람의 취약점을 노린 것이다.
제로데이는 정의상 패치가 없다. 하지만 "막을 수 없다"와 "피해를 줄일 수 없다"는 다르다.
탐지: 행위 기반 EDR 시그니처는 제로데이에 무용지물이다. 행위 기반 탐지가 유일한 방법이다. 비정상 프로세스 생성, 횡적 이동, 권한 상승, 데이터 스테이징을 감시한다. GTIG의 2025년 리뷰에 따르면, 제로데이 파도에서 살아남은 조직은 "가장 빠르게 패치한 조직이 아니라, 포스트 익스플로잇 행위를 확산 전에 탐지한 조직"이었다.
방어: 공격 표면 축소 2025년 제로데이의 절반이 VPN/방화벽을 노렸다. 불필요한 서비스를 비활성화하고, 관리 인터페이스를 제한하는 것만으로 표적이 되는 확률을 줄인다.
대응: 패치 관리 규율 제로데이는 못 막아도 N-day는 막을 수 있다. 엣지 디바이스(VPN, 방화벽) 패치를 30일 이내로 단축하면 N-day 노출 기간을 절반으로 줄인다.
가시성: 소프트웨어 부품 목록(SBOM) 우리 시스템이 어떤 라이브러리와 컴포넌트를 사용하는지 목록화해야 한다. 새로운 제로데이가 공개됐을 때 "우리가 영향받는가"를 수 분 내에 판단할 수 있다. SBOM 없이는 전수 조사에 수 주가 걸린다.
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.
KW_PROTECT_0