제로데이 문서 공격 방어 — 패치 전에도 유효한 구조적 차단 원리

"제로데이를 패치 전에도 막을 수 있는가." 이 질문은 오래된 것이다. 답도 사실 오래되었다 — 막는 방법은 있다, 단 탐지로는 아니다. 2010년 Stuxnet이 4개의 Windows 제로데이를 동시에 사용해 이란 핵 시설을 타격한 사건^[1]부터 2017년 발견 이후 8년째 현역으로 쓰이는 CVE-2017-11882 Equation Editor^[2], 2022년 Follina(CVE-2022-30190)의 "패치 없는 4주"^[3], 2023년 Storm-0978의 CVE-2023-36884 Word/HTML 원격 실행^[4], 2024년 ScarCruft의 CVE-2024-38178 RokRAT 체인^[5], 2026년 2월 NVD에 등재된 CVE-2025-29867 Hancom 全라인 타입 혼동^[6]까지 — 16년간 문서 제로데이의 흐름은 한 방향을 가리킨다. 시그니처는 언제나 늦는다. Google Mandiant M-Trends 2024는 2023년 한 해에만 97개의 제로데이가 in-the-wild 활용되었다고 집계했고, 이는 전년 대비 50% 이상 증가한 수치다^[7]. 이 글은 공개 1차 자료 — Google Project Zero, Mandiant, CISA KEV, NVD, Kaspersky, Trellix, ESET, NIST — 를 근거로 "탐지 없이 막는 방법이 왜 성립하는지"를 구조적으로 해부한다.

2023년 in-the-wild 제로데이
Mandiant M-Trends 2024^[7]

90일

Project Zero 공개 기한
표준 disclosure policy^[8]

8년

CVE-2017-11882 현역
Kimsuky · SideWinder^[2]

100%

SLCDR KISA 탐지율
zero-day 샘플 포함^[9]

1 Lead — 패치 없이도 막을 수 있는가

이 질문은 두 개로 쪼개진다. 첫째, "취약점 자체를 사라지게 할 수 있는가" — 답은 명백히 아니다. 취약점은 소프트웨어 버그이고 버그는 코드 수정으로만 사라진다. 둘째, "취약점이 악용되는 것을 막을 수 있는가" — 이 질문의 답이 이 글의 주제다. 악용(exploitation)은 세 단계의 조건이 모두 충족되어야 성립한다. ① 취약한 소프트웨어 ② 취약점을 트리거하는 입력 ③ 입력이 소프트웨어에 도달하는 경로. 전통적 방어는 ①에 집중한다(패치). 탐지 기반 방어는 ②를 식별하려 한다(시그니처). CDR은 다르게 접근한다 — 입력 자체를 정규화하고 실행 가능 유형을 제거하여 ②의 성립 조건 자체를 무너뜨린다.

이 접근이 "탐지 없는 방어"로 성립하는 이유는 단순하다. 어떤 제로데이든, 공격 코드는 결국 문서 내부의 실행 가능한 콘텐츠(매크로·OLE·DDE·스크립트·수식 편집기·EPS·원격 템플릿 · 임베디드 객체)를 경유해 실행된다. 문서 파서 자체의 메모리 손상 취약점(예: 악의적 태그 구조를 통한 힙 오버플로)도 결국 "정규 포맷을 벗어난 구조"에 의존한다. CDR은 파일을 열고 → 실행 가능 콘텐츠를 유형 기준으로 제거 → 원본 포맷으로 재조립한다. 이 과정에서 CVE 번호를 알 필요가 없다. 알려지지 않은 취약점이어도 실행 가능 유형 제거라는 원리가 동일하게 작동한다.

💡 "CVE 번호 없이 방어 가능한가"의 논리 구조

시그니처 AV는 "이 파일이 악성인가"를 묻는다. 샌드박스는 "이 파일이 악성 행동을 하는가"를 묻는다. CDR은 다른 질문을 한다 — "이 파일 안에 실행 가능한 콘텐츠가 있는가. 있다면 원본 업무 정보는 보존하고 실행 요소만 제거할 수 있는가." 이 질문은 CVE 번호·시그니처·샘플 없이 답할 수 있다. 이것이 "탐지 없는 방어"의 논리적 기초다.

2 Zero-day 정의와 경제학

"제로데이(Zero-day)"의 엄밀한 정의는 벤더가 공식 인지·패치하기 전에 악용된 취약점이다. NIST SP 800-115(정보 보안 테스팅 가이드)^[10]와 CISA의 KEV(Known Exploited Vulnerabilities) 카탈로그^[11]는 "0-day in-the-wild"를 별도 분류로 관리한다. NVD(National Vulnerability Database) 등재는 CVE 발급 이후 며칠에서 수주가 걸린다. CVE-2025-29867의 경우 Hancom의 내부 인지 시점과 2026.2.4 NVD 공개 시점 사이에 확인된 갭이 존재했다^[6].

제로데이의 경제학 — 수요와 공급

제로데이는 거래 상품이다. Zerodium 공개 지불 표 기준 Microsoft Office RCE 체인은 수십만 달러, Android/iOS 제로-클릭은 수백만 달러 수준이다. CrowdStrike Global Threat Report 2024는 "제로데이 시장이 국가 후원 APT의 핵심 공급망"이라고 평가했다^[12]. 공격자에겐 시간이 자산(공개 전까지의 기간), 방어자에겐 부채(T0~T5 갭)다.

Google Project Zero의 90일 정책

"Project Zero believes that vulnerability disclosure is a tool for defenders. We give vendors a 90-day deadline from the moment we report a vulnerability, with an additional 14-day grace period if a patch is scheduled within that window." — Google Project Zero Disclosure Policy^[8]

Project Zero는 2014년 설립 이래 이 정책을 유지하고 있다. 데드라인 이후엔 패치 여부와 무관하게 공개된다. 방어자는 "최악의 경우 90+14일의 창"을 가정해야 한다. 문서 영역에서 Microsoft GDI+ · Skia · ANGLE 파서 취약점이 대표 사례다.

⚠️ 90+14일 = 최소값이다, 최대값이 아니다

Project Zero의 90일은 "연구자가 관리할 수 있는 deadline"이고 실제 in-the-wild 공격은 그보다 훨씬 먼저 시작된다. Mandiant M-Trends 2024는 제로데이의 평균 exploitation-to-disclosure 기간이 수개월~수년이라고 보고했다^[7]. 즉 방어 조직이 "이 CVE가 존재한다"는 사실을 알게 되는 시점부터 이미 늦은 싸움이다.

3 탐지 방식의 태생적 한계 (signature / ML)

시그니처 AV가 zero-day에서 실패하는 이유

시그니처 기반 AV는 과거의 악성 샘플에서 추출한 해시·바이트 패턴·YARA 규칙을 비교한다. 제로데이는 정의상 "공개된 샘플이 존재하지 않는 상태"이므로 시그니처 DB에 등록될 수 없다. 변종(variant)의 경우도 난독화·패킹·재컴파일만으로 해시가 바뀌어 시그니처 매칭을 우회한다. AV-TEST와 AV-Comparatives의 2024년 독립 시험에서 주요 AV 제품들의 0-day (unknown) 샘플 탐지율이 제공업체별로 큰 편차를 보였다는 점이 이 구조적 한계를 방증한다.

ML 기반 탐지의 한계

머신러닝 기반 악성코드 분류기는 PE 헤더·API 호출 그래프·문자열·엔트로피 특징을 학습한다. 그러나 학습 데이터 분포 밖(OOD, Out-of-Distribution)에 있는 샘플은 신뢰도가 급격히 하락한다. ESET Threat Report H2 2024는 "LLM 생성 변종이 ML 탐지기의 특징 공간을 체계적으로 교란한다"고 보고했다^[13]. Adversarial ML 연구자들이 지적하듯 — 시그니처가 알려진 특징에 의존하듯, ML도 학습된 특징에 의존한다. "새로운 것"이라는 전제 자체가 다르지 않다.

Living Off The Land의 회색 지대

CVE-2022-30190 Follina가 전형적 사례다. 이 취약점은 악성 PE 파일을 디스크에 남기지 않고 Office → ms-msdt:// URL 핸들러 → PowerShell 체인으로 실행된다^[3]. 모든 단계가 정상 Windows 유틸리티로 구성되어 있어 행위 기반 탐지가 "정상 업무"와 구분하기 어렵다. MITRE ATT&CK T1218 Signed Binary Proxy Execution, T1566.001 Phishing: Spearphishing Attachment 등이 이 기법을 카테고리화한다.

4 샌드박스의 zero-day 실패 (MITRE T1497)

샌드박스는 "실제 실행 후 관찰"이라는 점에서 시그니처보다 강력하다. 하지만 제로데이 악용 도구 개발자들은 샌드박스 회피를 기본 탑재한다. MITRE ATT&CK가 이를 체계화한 기술이 T1497 Virtualization/Sandbox Evasion이다^[14].

T1497의 주요 하위 기법

T1497.001 System Checks — VM 특유의 하드웨어 ID, MAC OUI, BIOS 문자열, 가상화 CPU 명령어 응답 확인
T1497.002 User Activity Based Checks — 마우스 이동·클릭·키 입력·최근 문서 수 확인. 샌드박스는 상호작용 없이 실행되는 경우가 많음
T1497.003 Time Based Evasion — sleep·stall code·delayed execution. 샌드박스의 분석 시간 제한(예: 3~5분)을 넘길 때까지 잠복

문서 제로데이의 샌드박스 회피 실사례

Kaspersky SecureList 2024 제로데이 분석 시리즈는 APT 문서 기반 제로데이가 거의 예외 없이 T1497을 탑재한다고 보고했다^[15]. CVE-2017-11882 계열 페이로드는 "최근 문서 10개 미만이면 종료" 조건을 자주 포함한다(샌드박스는 깨끗한 환경이므로 항상 종료). CVE-2023-36884 Storm-0978 체인은 특정 도메인 조인 환경 확인을 포함한 것으로 Microsoft Threat Intelligence가 분석했다^[4].

⚠️ 샌드박스의 구조적 딜레마

샌드박스는 실행 환경을 시뮬레이션해야 하고, 시뮬레이션은 관측 가능한 차이를 만든다. 관측 가능한 차이는 공격자가 이용할 수 있다. 이것은 구현 품질의 문제가 아니라 원리적 한계다. 게다가 샌드박스는 평균 수십 초~수 분의 처리 시간이 걸리므로 실시간 이메일 게이트웨이에 대량 적용하기 어렵다.

5 2023-2026 주요 문서 제로데이 10선

공개 자료에서 확인되는 문서 계열 대형 제로데이 10건을 CVE 번호·CVSS·공격자·활용 기간 기준으로 정리했다. 모든 항목은 NVD · CISA KEV · 벤더 공식 공지 · Mandiant / Kaspersky / ESET / Microsoft Threat Intelligence 1차 보고 기반이다.

CVE	대상	CVSS	공격자 / 악용	활용 기간
CVE-2017-11882	MS Office Equation Editor	7.8	Kimsuky · SideWinder · TA505 등 다수^[2]	2017~현재 (8년)
CVE-2021-40444	MSHTML (Office 문서 렌더)	8.8	Cobalt Strike 로더 광범위^[16]	공개 전 수주 in-the-wild
CVE-2022-30190	MSDT (Follina)	7.8	정부·민간 광범위 스피어피싱^[3]	패치 전 4주+
CVE-2023-36884	Office/Windows HTML	8.3	Storm-0978 · RomCom · 우크라 NATO 표적^[4]	수개월 in-the-wild
CVE-2023-21716	MS Word RTF heap corruption	9.8	PoC 광범위 공개	공개 후 즉시 악용
CVE-2024-38178	Windows Scripting Engine (IE mode)	7.5	ScarCruft(APT37) RokRAT^[5]	2024.8 Patch Tuesday
CVE-2024-30103	Outlook Form	8.8	이메일 프리뷰 RCE	2024.6
CVE-2024-43572	MS Management Console (MSC)	7.8	다수 APT의 MSC 파일 체인	2024.10
CVE-2025-24054	NTLM hash leak (문서 embedded)	6.5	자격증명 탈취 체인	2025
CVE-2025-29867	Hancom Office 2018/20/22/24 전라인	8.5 HIGH	타입 혼동 CWE-843^[6]	2026.2.4 NVD 등재

10건의 공통점: ① 문서 파일의 자동 렌더링 경로에서 트리거 ② 첫 단계가 실행 가능 콘텐츠 유형(매크로·OLE·수식 편집기·외부 템플릿·HTML 렌더) ③ 패치 배포 후에도 장기간 현역(조직 패치 미적용 자산 잔존).

6 Stuxnet 4-zeroday — 역사적 교훈

2010년 발견된 Stuxnet은 이란 나탄즈 우라늄 농축 시설의 Siemens PLC를 타격한 사이버-물리 무기다. Symantec의 W32.Stuxnet Dossier^[1]와 Kaspersky의 후속 분석은 이 작전이 4개의 Windows 제로데이를 동시에 사용했음을 확인했다:

CVE-2010-2568 — LNK 아이콘 파싱 취약점 (USB 자동 실행)
CVE-2010-2729 — Print Spooler 권한 상승
CVE-2010-2743 — Windows Kernel Win32k.sys LPE
CVE-2010-3338 — Task Scheduler LPE

여기에 Realtek·JMicron의 탈취된 합법 코드 서명 인증서 2장까지 결합됐다. 당시 방어 업계의 충격은 단일 공격이 이 정도 자원을 투입했다는 사실이었다. 역설적으로 Stuxnet은 "탐지로는 막을 수 없는 공격 자원의 상한이 있다"는 것을 증명했다. 시그니처 AV는 이 공격을 몇 달간 놓쳤다. 결국 Stuxnet을 처음 공개 분석한 것은 벨라루스의 소규모 연구팀(VirusBlokAda)이었다.

💡 Stuxnet이 남긴 방어 원칙

국가 자원이 투입된 공격은 탐지 기반 방어의 한계를 구조적으로 초과한다. 이에 대한 실질적 대응은 "탐지에 의존하지 않는 방어 계층"을 갖추는 것이다. 2010년에는 이 원칙이 개념 수준이었지만 2026년 현재 CDR이 문서 공격 벡터에 대해 이 원칙을 구현하는 유일한 보편 기술이 되었다.

7 Follina CVE-2022-30190 — 패치 없는 4주

2022년 5월 27일 일본 연구자 nao_sec이 VirusTotal에서 발견한 악성 Word 문서는 Microsoft가 6월 14일 Patch Tuesday에 정식 패치를 배포하기까지 4주 가까이 미패치 상태로 남아있었다^[3]. 이 기간 동안 중국·북한·이란 연계 APT 그룹들이 Follina를 대량 활용한 것이 CERT-EU·CISA·Proofpoint Threat Research(제품 비교 아님, 연구 인용) 등 다수 기관에 의해 확인되었다.

Follina 공격 체인

진입: 악성 Word/RTF 이메일 첨부
트리거: 외부 템플릿 링크 → ms-msdt:// URL 스킴
실행: MSDT가 PowerShell 인코딩 페이로드 실행
은닉: 매크로 없음. Outlook Preview Pane만으로 트리거

Follina의 위험성은 "매크로 불요"였다. Microsoft가 2022년 초 매크로 기본 차단을 도입한 직후의 빈 틈을 정확히 공략했다. CDR 관점에서 외부 템플릿 참조와 URL 핸들러 호출을 실행 가능 유형으로 분류·제거하면 ms-msdt:// 체인 트리거 자체가 발생하지 않는다. CVE 발급 이전에도 동일 원리가 작동했을 것이다.

8 CVE-2017-11882 — 8년째 현역

2017년 11월 Microsoft가 패치한 CVE-2017-11882는 Equation Editor(EQNEDT32.EXE)의 스택 버퍼 오버플로다^[2]. Embedi 연구팀이 리버스엔지니어링으로 발견했는데, 이 모듈은 2000년경 빌드된 이후 업데이트가 거의 없었다(DEP/ASLR도 없었다). 패치 배포 직후 PoC가 공개되었고, 공격자 커뮤니티는 "거의 모든 Office 버전에서 동작하는, 매크로 허용이 필요 없는, 한 번 클릭으로 RCE"라는 3박자 조합 때문에 이 취약점을 애용했다.

8년간의 활용 기록

2017~2019 — Cobalt · FIN7 · TA505 금융기관 표적
2019~2022 — Kimsuky 한국 통일부·외교부 타깃
2021~2024 — SideWinder 남아시아 정부 표적
2023~2026 — 다수 APT 초기 침투 (ESET H2 2024)^[13]

8년째 현역인 이유는 패치 적용률이다. Office 레거시 설치본이 상당수 남아있고, Microsoft가 2018년 Equation Editor를 제거했음에도 구버전 잔존 환경이 공격 표면으로 남는다. CDR 관점에서 OLE 임베디드 Equation Editor 객체를 유형 기반으로 제거하면 취약점 존재 여부와 무관하게 실행 경로가 차단된다. 2017년 발견 이전에도 2026년 현재도 동일 원리로 작동한다.

9 CVE-2025-29867 — Hancom 全라인

2026년 2월 4일 NVD에 등재된 CVE-2025-29867은 Hancom Office 2018 · 2020 · 2022 · 2024 네 개 제품군 전부에 영향을 주는 타입 혼동(CWE-843) 취약점이다. CVSS 8.5 HIGH^[6]. 이 취약점의 구조적 의미는 "Hancom이 수년간 유지해온 공유 코드베이스 상의 결함이 네 제품군에 동시 상속된 상태"라는 점이다. 단일 패치 배포로는 전 조직 적용까지 시간이 걸리고, EOL 제품군(Hancom 2014·NEO·2010)은 패치 자체가 불가능하다.

안전 버전

Office 2018 ≥ 10.0.0.12681
Office 2020 ≥ 11.0.0.8916
Office 2022 ≥ 12.0.0.4426
Office 2024 ≥ 13.0.0.3050

"The application fails to properly verify that objects conform to their expected types before accessing them." — SentinelOne CVE-2025-29867 공식 설명^[6]

CDR이 이 유형의 취약점에 구조적으로 유효한 이유는 XML 파싱 → 실행 요소 제거 → 원본 포맷 재조립의 정규화 단계에서 악의적 형태의 태그·객체가 정규 형태로 변환된다는 점이다. 타입 혼동을 유발하는 악의적 객체가 재조립 이후 정규 형태로 존재하면 트리거 조건이 성립하지 않을 확률이 높다. 다만 CDR이 모든 타입 혼동을 100% 차단한다고 단언하긴 어렵고, 한컴 패치와 계층 방어로 결합하는 것이 권장된다.

10 Google Mandiant 제로데이 통계

Mandiant M-Trends 리포트는 매년 전 세계 침해사고 대응(IR) 실전 데이터를 집계해 공개한다. 제로데이 관련 공식 통계를 정리한다^[7]:

연도	in-the-wild 제로데이	전년 대비	주요 관찰
2020	30개	—	Stuxnet 이후 저점
2021	80개	+167%	랜섬웨어 갱의 제로데이 구매 증가
2022	55개	-31%	매크로 차단 정책 영향
2023	97개	+76%	Mandiant M-Trends 2024 공식^[7]
2024	80~100개(추정)	보합~증가	Google TAG + Project Zero 공동 보고 예정

Mandiant의 M-Trends 2024는 또한 "exploitation-to-disclosure median 기간이 공격자별로 편차가 크지만 APT41 같은 그룹은 1년 이상 비공개 상태로 제로데이를 유지한다"고 보고했다^[7]. Crowdstrike Global Threat Report 2024는 국가 후원 그룹(China-nexus)의 제로데이 활용 비중이 2022년 대비 2023년에 2배 가까이 증가했다고 평가했다^[12].

11 Project Zero 0-day in-the-wild 사례

Google Project Zero는 2019년부터 "0-day In-the-Wild Tracking Spreadsheet"을 공개 유지하고 있다^[8]. 이 자료에 등재된 2023~2025 문서·브라우저 제로데이 중 문서 계열 주요 사례:

CVE-2023-36884 (Office/Windows HTML) — Storm-0978/RomCom, 우크라이나 NATO 정상회의 표적^[4]
CVE-2023-21674 (Windows ALPC LPE) — 문서 RCE 체인과 결합
CVE-2024-30088 (Windows Kernel) — 문서 exploit의 샌드박스 탈출 단계
CVE-2024-38178 (Scripting Engine) — ScarCruft RokRAT^[5]
CVE-2024-43572 (MSC) — 2024.10 Patch Tuesday

Project Zero의 핵심 관찰은 "제로데이의 상당수가 단일 취약점이 아니라 체인(chain)으로 결합되어 사용된다"는 점이다. 문서 파서 취약점(진입) + 권한 상승(LPE) + 샌드박스 탈출의 3~4개 CVE 조합이 최근 APT 공격의 표준이다. 체인이 길수록 어느 한 단계에서의 차단이 전체를 무력화한다. CDR은 체인의 진입 단계를 구조적으로 제거하여 나머지 단계의 실행 가능성 자체를 소멸시킨다.

12 CDR 구조적 방어 — 실행 요소 제거 원리

CDR(Content Disarm & Reconstruction)의 정의는 간명하다 — 파일을 받아서 파싱 → 실행 가능 유형 제거 → 원본 포맷 재조립. 이 3단계가 제로데이 방어에 "CVE 번호 없이 작동"하는 이유를 구조적으로 설명한다.

제거되는 실행 요소 유형 (SLCDR 기준)

매크로 (VBA/VBScript/JavaScript in PDF) — Office/Acrobat 전반
OLE 임베디드 객체 — Equation Editor · Package · 외부 실행 파일
DDE (Dynamic Data Exchange) — Excel/Word 필드 코드 실행
외부 템플릿·원격 참조 — Follina ms-msdt 계열 트리거
EPS/PostScript 코드 — 과거 APT28 CVE-2017-0261 계열
Form Submit·JavaScript Action — PDF
MSC/LNK/JSE 스크립트 유형 — 2024~2026 Kimsuky 계열
HTML/CSS in Office — CVE-2023-36884 계열 Word/HTML

왜 "CVE 번호 없이" 작동하는가

"CDR operates on file types and structural elements, not on known exploit signatures. A macro is removed because it is a macro, not because it matches a known malicious pattern." — 일반 CDR 기술 원리^[17]

이 원리는 앞으로 등장할 제로데이에도 동일하게 작동한다. 2028년에 아직 알려지지 않은 Office 취약점이 매크로·OLE·외부 템플릿·DDE 중 하나를 경유한다면, 그 경유 유형 자체가 제거되므로 트리거가 발생하지 않는다. 파서 자체의 메모리 손상(예: 악의적 XML 태그 구조)의 경우에도 재조립 과정의 정규화가 공격자의 악의적 구조를 표준 구조로 변환하여 트리거 조건을 해체한다.

✅ CDR의 "시간 독립성"

시그니처·ML·샌드박스는 모두 과거의 샘플/학습/환경에 의존한다. 과거 지식의 품질과 최신성이 방어의 품질을 결정한다. CDR은 현재의 파일 구조만 본다. 과거 지식이 필요 없으므로 "시간 독립적(time-invariant)" 방어다. 이것이 "탐지 없는 방어"가 원리적으로 성립하는 이유다.

13 KISA 시험 (zero-day 포함) 100% 탐지

시큐레터의 SLF·SLE·SLCDR 제품군은 KISA(한국인터넷진흥원) 인증 평가에서 100% 악성코드 탐지율을 기록했다^[9]. 이 평가의 샘플에는 알려진 악성코드뿐 아니라 변종·제로데이 샘플이 포함되어 있다. 시큐레터의 MARS 엔진은 리버스엔지니어링 기반의 비실행형 파일 분석을 수행하므로 시그니처 의존도가 낮다. CDR과 결합하면 알려진 위협과 알려지지 않은 위협 모두 구조적으로 처리된다.

MARS + SLCDR 조합의 특징

MARS — 실행 없이 바이너리 수준에서 구조 분석, 의심 패턴 기록
SLCDR — 실행 가능 콘텐츠 유형 제거 + 원본 재조립
조합의 의미 — MARS가 "무엇이 들어있는가"를 분석하여 인텔을 축적하고, SLCDR이 "실행 가능 요소를 제거한 안전한 파일"을 사용자에게 전달

BNK 부산은행 망연계구간 APT 차단 실전 레퍼런스^[18]가 이 조합의 현장 적용 사례다.

14 다층 방어에서 CDR의 위치

CDR이 단일 해답이라는 주장은 과장이다. 현실의 방어는 다층(defense-in-depth)로 구성되며 CDR은 그 중 "첫 번째 구조적 필터"로 위치한다.

LAYER 01 · 이메일·파일 게이트

CDR 사전 무해화

모든 외부 유입 문서에 대해 실행 가능 콘텐츠 유형 제거. 제로데이·변종 무관 구조적 1차 차단. 사용자 도달 전 처리.

CDR 필수

LAYER 02 · 정적 분석

MARS 리버스엔지니어링

CDR과 병행 · 바이너리 수준 분석 · 인텔 축적 · 의심 패턴 기록. 위협 사냥(threat hunting) 자료원.

MARS

LAYER 03 · 엔드포인트

EDR · 애플리케이션 제어

CDR 통과 이후 실행 단계의 이상 행동 탐지. 파서 자체의 메모리 손상 취약점 대응. T1497 회피 기법은 L1에서 무력화되지만 L3에서 보조.

사후 방어

LAYER 04 · 취약점 관리

Patch Tuesday · 자동 업데이트

MS Office · Hancom · Adobe 패치 즉시 적용. EOL 버전 교체 로드맵. CDR이 패치 전·후·EOL 공백을 구조적으로 메움.

기본 위생

15 매트릭스 — Signature vs Sandbox vs ML vs CDR

주요 방어 기법별 제로데이 커버리지를 체계적으로 정리한다.

차원	Signature AV	Sandbox	ML 탐지	CDR
알려진 위협	○ 탐지	○ 관찰	○ 분류	○ 제거
제로데이 커버리지	× 0%	△ T1497 회피 가능	△ OOD 취약	○ 구조적 제거
변종·난독화	× 해시 변경 우회	△ 부분적	△ 적대적 샘플 취약	○ 유형 기준
파일리스·LotL	× 디스크 기반	△ 정상 프로세스 구분 어려움	△ 애매	○ 진입 문서 차단
DLL 사이드로딩	× 시그니처 없음	△ 프로세스 문맥 위장	△ 정상 여부 혼동	○ OLE/LNK 제거
실시간 처리	○ 수십 ms	× 수십 초~분	○ 수십~수백 ms	○ SLCDR 평균 34ms
시점 지식 의존	높음 (DB 갱신 필수)	중간 (환경 갱신)	높음 (재학습)	없음 (구조 원리)
원본 업무 정보	차단 or 허용	차단 or 허용	차단 or 허용	보존 + 실행 요소 제거

Patch Tuesday vs CDR 즉각성

단계	Patch Tuesday 경로	CDR 경로
T0 in-the-wild	방어 없음	이미 차단 작동 중
T1~T2 벤더 인지	패치 개발 시작	차단 작동 중
T3 패치 개발	방어 없음(개발 중)	차단 작동 중
T4 패치 배포	배포 이후 조직 적용 시작	차단 작동 중
T5 조직 적용 완료	방어 유효(수주~수개월 지연)	차단 + 패치 중첩
T∞ EOL 버전	영구 방어 없음	유일한 구조적 방어

⚠️ EOL 버전의 영구 제로데이 리스크

Hancom 2014·NEO·2010, Office 2007·2010 같은 EOL 제품군에는 신규 취약점이 발견되어도 패치가 영구히 배포되지 않는다. 공공기관 레거시 설치가 다수 남아있는 한국 환경에서 이 리스크는 특히 크다. CVE-2025-29867 같은 최신 타입 혼동이 이들 구버전에 대해 영구 제로데이로 남을 가능성이 높다. CDR이 이 공백에 대한 유일한 구조적 방어다.

16 자주 묻는 질문 (FAQ)

Q1. CDR이 모든 제로데이를 100% 막을 수 있나요?

문서 내부의 실행 가능 콘텐츠를 경유하는 제로데이는 대부분 차단된다. 매크로·OLE·DDE·외부 템플릿·EPS·임베디드 스크립트 기반 공격이 이에 해당한다. 파일 포맷 파서 자체의 메모리 손상 취약점(예: 악의적 XML 구조로 트리거되는 힙 오버플로)은 CDR의 정규화 재조립으로 상당 부분 무력화되나 100%를 단언하긴 어렵다. 다층 방어(패치·EDR)와 결합이 권장된다.

Q2. Google Project Zero 90일 정책이 방어자에게 주는 실용적 의미는?

90+14일은 연구자 주도의 deadline이지 공격자 기준이 아니다. 실제 in-the-wild 활용은 그보다 훨씬 먼저 시작되며 Mandiant M-Trends 2024는 평균 exploitation-to-disclosure 기간이 수개월~수년이라고 보고했다. 방어자는 "공개된 CVE 기준 대응"으로는 항상 늦는다는 전제를 가져야 하고, 그에 대한 해답이 탐지에 의존하지 않는 구조적 방어 레이어다.

Q3. 샌드박스가 제로데이에 약한 구조적 이유는?

샌드박스는 실행 환경을 시뮬레이션하고, 시뮬레이션은 공격자가 관측 가능한 차이를 만든다. MITRE ATT&CK T1497이 체계화한 VM 감지·사용자 상호작용 확인·시간 지연 기법이 보편화되어 있다. 또한 샌드박스의 분석 시간(수십 초~수 분)은 실시간 이메일 게이트에 대량 적용하기 어렵다. CDR은 수십 ms 수준으로 실시간 게이트에 적합하다.

Q4. CVE-2017-11882가 8년째 현역인 이유가 뭔가요?

Equation Editor 모듈의 패치 적용률 한계 + 레거시 Office 설치본 잔존 + 매크로 허용이 필요 없는 1-click RCE라는 매력도가 겹친다. Kimsuky·SideWinder 등 다수 APT가 여전히 초기 진입 단계에 사용한다. CDR 관점에서는 OLE 임베디드 Equation Editor 객체를 유형 기반으로 제거하면 취약점 존재 여부와 무관하게 실행 경로가 차단된다. 이것이 "CVE 번호 없이도 작동하는 방어"의 실제 사례다.

Q5. CDR이 원본 업무 정보를 손상시키지 않나요?

SLCDR은 텍스트·표·이미지·레이아웃·스타일을 보존하고 실행 가능 요소만 제거한다. 매크로·OLE·DDE·스크립트 제거는 업무 문서의 가독성에 영향이 거의 없다. 일부 업무 프로세스가 매크로를 의존하는 경우(예: Excel 매크로 자동화)에는 예외 정책을 설정하거나 매크로를 분리된 안전 환경에서 실행하도록 설계한다. PoC/BMT 단계에서 실제 업무 파일로 품질을 검증한다.

Q6. CVE-2025-29867처럼 타입 혼동을 CDR이 막을 수 있나요?

부분적으로. CDR은 XML 파싱 → 재조립 단계에서 원본의 구조적 특이점을 정규화한다. 타입 혼동을 유발하는 악의적 형태의 태그·객체가 재조립 이후 정규 형태로 변환되면서 트리거 조건이 해체될 수 있다. 다만 파서 자체의 메모리 손상 계열은 한컴 패치와 병행이 권장된다.

Q7. EOL 버전 한컴·Office에 대한 대응은?

Hancom 2014·NEO·2010, Office 2007·2010 등은 패치가 영구히 배포되지 않는다. 공공기관 레거시 환경에서는 ① 업그레이드 로드맵 ② CDR 게이트에서 모든 문서 반입 무해화 ③ EOL 사용자 격리 환경 운영의 3중 방어가 권장된다. CDR이 EOL 영구 제로데이에 대한 유일한 구조적 방어가 된다.

Q8. ML 기반 제로데이 탐지는 어떤가요?

ML 분류기는 학습 데이터 분포 밖(OOD) 샘플에 대한 신뢰도가 낮다. ESET Threat Report H2 2024는 LLM 기반 변종 자동 생성이 ML 탐지기의 특징 공간을 체계적으로 교란한다고 보고했다. ML은 보조 레이어로는 유용하지만 제로데이 단독 대응에는 원리적 한계가 있다. CDR의 구조 기반 접근과 결합해야 한다.

✓ 결론 — 알 수 없는 것을 막는 알려진 방법

Stuxnet 4-zeroday, 8년째 현역인 Equation Editor, Follina의 패치 없는 4주, Storm-0978 CVE-2023-36884, ScarCruft CVE-2024-38178, 2026.2 NVD 등재 CVE-2025-29867 Hancom 全라인. 이 16년 연표는 한 가지 사실을 말한다 — "제로데이는 계속 등장할 것이고, 그 사이의 방어는 시그니처·샘플·학습 데이터가 존재하기 전의 시간에 작동해야 한다."

답은 탐지하지 않고 제거하는 것. 문서 내부의 실행 가능 콘텐츠 유형을 구조적으로 제거하고 원본 업무 정보를 보존한 정규 포맷으로 재조립한다. CVE 번호가 불요다. 샌드박스 회피 기법의 영향을 받지 않는다. 학습 데이터 분포 밖의 새 변종에도 동일 원리가 작동한다. Patch Tuesday 이전에도, EOL 버전에도, 2028년의 아직 이름 없는 제로데이에도.

Mandiant M-Trends 2024의 2023년 97개 in-the-wild 제로데이는 증가 추세다. Project Zero가 "vulnerability disclosure is a tool for defenders"를 선언한 배경에는 공격자 선점이라는 비대칭이 있다. 이 비대칭을 좁히는 방법은 탐지의 정교화가 아니라 탐지에 의존하지 않는 방어 계층이다. 패치와 CDR은 대체가 아닌 보완이며, EOL·패치 미적용·Zero-day in-the-wild의 세 공백에서 CDR은 유일한 구조적 방어다.

제로데이 대응 준비도 진단 — PoC · BMT

2017-11882·Follina·CVE-2023-36884·CVE-2024-38178·CVE-2025-29867 샘플 기반 시뮬레이션, SLCDR 무해화 품질 테스트, MARS 정적 분석 인텔 축적 검증, EOL 환경 대응 설계, 감사 증적 자동화까지 지원.

제로데이 대응 PoC 신청 → 공공 · 금융 · 엔터프라이즈 · 국방 맞춤

REFERENCES

Symantec Security Response, W32.Stuxnet Dossier v1.4, 2011.2 — Symantec archived report. 관련 CVE-2010-2568 · CVE-2010-2729 · CVE-2010-2743 · CVE-2010-3338.
NVD, CVE-2017-11882 Microsoft Office Equation Editor Stack Buffer Overflow — nvd.nist.gov. Embedi 최초 보고.
NVD, CVE-2022-30190 Microsoft Windows Support Diagnostic Tool (MSDT) · Follina — nvd.nist.gov. CISA KEV 등재.
Microsoft Threat Intelligence, Storm-0978 attacks reveal financial and espionage motives · CVE-2023-36884, 2023.7 — microsoft.com.
The Hacker News, North Korean ScarCruft Exploits Windows Zero-Day CVE-2024-38178 to Install RokRAT, 2024.10 — thehackernews.com. Google TAG 공동 보고.
NVD / SentinelOne, CVE-2025-29867 Hancom Office Type Confusion (CWE-843), NVD 2026.2.4 — sentinelone.com.
Mandiant (Google Cloud), M-Trends 2024 — Special Report, 2024.4 — cloud.google.com. 2023년 97개 in-the-wild 제로데이 집계.
Google Project Zero, Vulnerability Disclosure Policy · 0-day "In the Wild" Spreadsheet — googleprojectzero.blogspot.com.
SecuLetter Inc., Ensecure v2 · SecuLetter at a Glance, 2025.12.17. KISA 인증 평가.
NIST SP 800-115, Technical Guide to Information Security Testing and Assessment — csrc.nist.gov.
CISA, Known Exploited Vulnerabilities (KEV) Catalog — cisa.gov.
CrowdStrike, 2024 Global Threat Report, 2024 — crowdstrike.com. 국가 후원 그룹 제로데이 활용 증가 분석.
ESET, Threat Report H2 2024, 2024.12 — welivesecurity.com. LLM 변종 · ML 탐지 한계.
MITRE ATT&CK, T1497 Virtualization/Sandbox Evasion · T1218 Signed Binary Proxy Execution · T1566 Phishing — attack.mitre.org/techniques/T1497.
Kaspersky Securelist, Zero-day vulnerabilities and APT analysis · 2024-2025 series — securelist.com.
NVD, CVE-2021-40444 Microsoft MSHTML Remote Code Execution — nvd.nist.gov. CISA KEV 등재.
NIST CSRC, Threat Mitigation Guidelines · Content Disarm and Reconstruction 개념 설명 — csrc.nist.gov.
SecuLetter, MARS Platform · File Security Technology · BNK 부산은행 레퍼런스 — seculetter.com.
Trellix Advanced Research Center, The Bug Report · CVE Series, 2024-2025 — trellix.com.
Google TAG, Threat Analysis Group · APT37 IE 0-day, 2024.10 — blog.google.
NVD, CVE-2024-38178 Windows Scripting Engine Memory Corruption — nvd.nist.gov.
NVD, CVE-2023-36884 Office and Windows HTML Remote Code Execution — nvd.nist.gov.
MITRE CVE, CVE-2023-21716 Microsoft Word RTF Heap Corruption — cve.mitre.org.
ASEC (AhnLab Security Emergency response Center), Monthly APT · Hancom 관련 캠페인 리포트 시리즈 — asec.ahnlab.com.

기술 심화 실무 검토가 필요하신가요?

시큐레터 보안연구팀이 현재 환경을 함께 검토합니다. 기밀 유지 보장, 비용 없음.

PoC 신청