VMware 제품 '제로데이' 취약점 발견, 랜섬웨어 공격 위험 고조

 

 

 

 

최근 미국 기술 대기업 브로드컴이 VMware 제품에서 발견된 세 가지 심각한 취약점에 대해 경고를 발표했습니다. 이 취약점들은 악의적인 해커들에 의해 적극적으로 악용되어 기업 고객들의 네트워크를 위협하고 있습니다.

ESXicape: VMware 제품의 심각한 취약점

"ESXicape"라고 불리는 이 세 가지 취약점(CVE-2025-22224, CVE-2025-22225, CVE-2025-22226)은 VMware ESXi, Workstation, Fusion 등 널리 사용되는 하이퍼바이저 제품에 영향을 미칩니다. 이 제품들은 단일 서버에서 여러 가상 머신을 관리할 수 있게 해주는 소프트웨어로, 기업들이 물리적 서버 공간을 절약하기 위해 자주 사용합니다.

2023년 VMware를 인수한 브로드컴에 따르면, 이 취약점들을 통해 가상 머신에 관리자 또는 루트 권한을 가진 공격자가 보호된 샌드박스를 탈출하여 기본 하이퍼바이저 제품에 대한 무단 접근 권한을 얻을 수 있습니다. 하이퍼바이저에 접근하게 되면 공격자는 동일한 물리적 데이터 센터 내의 다른 회사 소유의 가상 시스템을 포함한 모든 가상 머신에 접근할 수 있게 됩니다.

브로드컴은 이 취약점들이 실제로 악용되고 있다는 정보를 가지고 있다고 밝혔습니다. 위협 인텔리전스 회사 Rapid7의 수석 보안 연구원인 Stephen Fewer는 TechCrunch와의 인터뷰에서 "이 취약점의 영향은 매우 큽니다. 하이퍼바이저를 장악한 공격자는 같은 하이퍼바이저를 공유하는 다른 모든 가상 머신을 손상시킬 수 있습니다."라고 말했습니다.

 

 

 

 

 

 

취약점의 심각성과 영향

이 취약점들의 심각성은 매우 높습니다. 특히 CVE-2025-22224는 CVSS 점수 9.3으로 가장 위험한 것으로 평가되었습니다. 이 취약점은 VMware ESXi와 Workstation에서 발견된 시간 검사 시간 사용(TOCTOU) 취약점으로, 힙 오버플로우를 일으킬 수 있습니다. 공격자는 이를 통해 가상 머신의 VMX 프로세스로 코드를 실행할 수 있게 됩니다.

CVE-2025-22225는 VMware ESXi에서 발견된 임의 쓰기 취약점으로, CVSS 점수 8.2를 받았습니다. 이 취약점을 통해 VMX 프로세스 내에서 권한을 가진 공격자가 임의의 커널 쓰기를 트리거하여 샌드박스를 탈출할 수 있습니다.

마지막으로 CVE-2025-22226은 VMware ESXi, Workstation, Fusion에 영향을 미치는 정보 노출 취약점으로, CVSS 점수 7.1을 받았습니다. 이 취약점은 HGFS 컴포넌트의 범위를 벗어난 읽기 버그로 인해 발생하며, 가상 머신에 관리자 권한을 가진 공격자가 VMX 프로세스의 메모리를 유출할 수 있게 합니다.

 

 

 

 

랜섬웨어 그룹의 표적이 되는 VMware 취약점

보안 연구원 Kevin Beaumont는 Mastodon 게시물을 통해 이 세 가지 취약점이 아직 이름이 밝혀지지 않은 랜섬웨어 그룹에 의해 적극적으로 악용되고 있다고 밝혔습니다. VMware 취약점은 단일 공격으로 여러 서버를 손상시킬 수 있는 능력 때문에 랜섬웨어 그룹들의 빈번한 표적이 되고 있습니다. 또한 이러한 가상화된 환경에 민감한 기업 데이터가 자주 저장되기 때문에 더욱 매력적인 타겟이 되고 있습니다.

2024년에는 여러 랜섬웨어 그룹들이 VMware 하이퍼바이저 취약점을 악용하여 Black Basta와 LockBit 랜섬웨어를 배포하고 기업 데이터를 탈취하는 공격을 수행한 것이 마이크로소프트에 의해 발견되었습니다. 그 전해인 2023년에는 "ESXIArgs"라고 불리는 대규모 해킹 캠페인이 발생했는데, 이는 2년 된 VMware 취약점을 악용하여 전 세계 수천 개의 조직을 표적으로 삼은 사례였습니다.

 

반응형

 

 

 

대응 방안과 패치 적용의 중요성

브로드컴은 이 세 가지 취약점에 대한 패치를 긴급하게 배포했습니다. 이 취약점들은 수정 프로그램이 제공되기 전에 악용되었기 때문에 "제로데이" 버그로 분류됩니다. 브로드컴은 이번 보안 권고를 "긴급" 변경사항으로 설명하며 고객들에게 가능한 한 빨리 패치를 적용할 것을 강력히 권고하고 있습니다.

미국 정부의 사이버보안 기관인 CISA(Cybersecurity and Infrastructure Security Agency)도 연방 기관들에게 이 버그들에 대한 패치를 적용할 것을 경고하고 있으며, 이를 공격 중인 것으로 알려진 취약점 목록에 추가했습니다.

 

 

 

 

 

기업의 대응 전략

이러한 심각한 취약점에 대해 기업들은 다음과 같은 대응 전략을 고려해야 합니다:

1. 즉각적인 패치 적용: 브로드컴이 제공한 보안 패치를 최대한 빨리 적용해야 합니다. 패치 적용 전에는 시스템 백업을 반드시 수행해야 합니다.
2. 취약점 스캔 실시: 네트워크 내의 모든 VMware 제품에 대해 취약점 스캔을 실시하여 패치되지 않은 시스템을 식별해야 합니다.
3. 네트워크 세그멘테이션 강화: 가상 머신들 간의 네트워크 분리를 강화하여 한 가상 머신이 손상되더라도 다른 가상 머신으로의 확산을 막아야 합니다.
4. 접근 제어 정책 검토: 가상 머신에 대한 관리자 및 루트 접근 권한을 엄격히 제한하고 정기적으로 검토해야 합니다.
5. 모니터링 강화: 비정상적인 활동이나 의심스러운 로그인 시도를 탐지하기 위해 시스템 모니터링을 강화해야 합니다.
6. 인시던트 대응 계획 업데이트: 가상화 환경에서의 보안 사고에 대비한 인시던트 대응 계획을 수립하고 정기적으로 훈련을 실시해야 합니다.
7. 직원 교육: IT 팀과 일반 직원들에게 이러한 취약점의 위험성과 안전한 가상화 환경 사용법에 대해 교육해야 합니다.
8. 백업 전략 강화: 랜섬웨어 공격에 대비하여 중요 데이터의 백업 주기를 단축하고, 오프라인 백업을 유지해야 합니다.
9. 제3자 보안 감사: 외부 보안 전문가를 통해 가상화 환경의 보안 상태를 정기적으로 점검받아야 합니다.
10. 공급업체 커뮤니케이션 강화: VMware와 같은 주요 소프트웨어 공급업체들과의 커뮤니케이션 채널을 유지하여 보안 업데이트 및 권고사항을 신속히 받아볼 수 있어야 합니다.

 

 

 

 

 

결론

VMware 제품의 이번 취약점 발견은 가상화 기술이 현대 기업 IT 인프라의 핵심이 되었음을 다시 한번 상기시켜 줍니다. 이러한 기술의 중요성만큼이나 그에 대한 보안 위협도 커지고 있습니다. 특히 랜섬웨어 그룹들이 이러한 취약점을 적극적으로 노리고 있다는 점은 매우 우려스러운 상황입니다.

기업들은 이번 사건을 계기로 자사의 가상화 환경 보안을 전면적으로 재검토해야 합니다. 단순히 패치를 적용하는 것에 그치지 않고, 전체적인 보안 아키텍처를 강화하고 지속적인 모니터링과 대응 체계를 구축해야 합니다. 또한, 클라우드 서비스 제공업체들도 이러한 위협에 대비하여 자사의 보안 정책과 절차를 재점검해야 할 것입니다.

마지막으로, 이번 사건은 소프트웨어 공급업체와 사용자 간의 긴밀한 협력의 중요성을 다시 한번 강조합니다. 브로드컴이 신속하게 패치를 제공하고 CISA가 즉각적인 경고를 발령한 것처럼, 보안 위협에 대한 신속하고 투명한 커뮤니케이션이 사이버 보안의 핵심임을 잊지 말아야 할 것입니다.