Hayden

최근 VMware 환경을 운영하시는 많은 분들이 걱정하고 계실 중요한 보안 이슈에 대해 함께 알아보겠습니다. 지난 3월, Broadcom에서 발표한 CVE-2025-22224는 VMware ESXi와 Workstation에 영향을 미치는 CVSS 점수 9.3의 매우 심각한 보안 취약점입니다.

특히 이 취약점은 이미 실제 환경에서 악용되고 있어 CISA(미국 사이버보안·인프라보안청)에서 2025년 3월 25일까지 반드시 패치를 적용하도록 의무화했습니다. 오늘은 이 취약점의 위험성과 해결 방법을 차근차근 살펴보겠습니다.

 

 

1. CVE-2025-22224란 무엇인가요?

CVE-2025-22224는 TOCTOU(Time-of-Check Time-of-Use) 취약점으로, 간단히 말해서 시스템이 어떤 조건을 확인하는 시점과 실제로 그 조건을 사용하는 시점 사이에 발생하는 경합 조건(Race Condition) 문제입니다.

취약점의 핵심 특징

  • 영향도: CVSS 점수 9.3 (Critical)
  • 취약점 유형: TOCTOU (Time-of-Check Time-of-Use) 경합 조건
  • 공격 벡터: 가상머신에서 로컬 관리자 권한을 가진 공격자가 호스트의 VMX 프로세스로 코드를 실행할 수 있음
  • 발견자: Microsoft Threat Intelligence Center

어떤 제품들이 영향을 받나요?

영향받는 VMware 제품들:

  • VMware ESXi (버전 8.0, 7.0, 6.7)
  • VMware Workstation Pro/Player (버전 17.x)
  • VMware Fusion (버전 13.x)
  • VMware Cloud Foundation
  • VMware Telco Cloud Platform

현재 전 세계적으로 40만 개 이상의 VMware ESXi 서버가 이 취약점에 노출되어 있는 것으로 파악되고 있어, 빠른 대응이 필요한 상황입니다.

 

 

2. 이 취약점이 왜 위험한가요?

공격 시나리오 분석

이 취약점의 위험성을 이해하기 위해 실제 공격 시나리오를 살펴보겠습니다:

  1. 초기 침입: 공격자가 가상머신 내부에서 관리자 권한을 획득
  2. 취약점 악용: CVE-2025-22224를 통해 TOCTOU 경합 조건을 악용하여 out-of-bounds write 실행
  3. 권한 상승: 가상머신에서 호스트 ESXi 서버의 VMX 프로세스로 코드 실행 권한 확보
  4. 호스트 장악: 전체 하이퍼바이저에 대한 제어권 획득

연계 공격의 위험성

CVE-2025-22224는 CVE-2025-22225(임의 쓰기 취약점)와 연계하여 사용될 수 있어 더욱 위험합니다. 이 두 취약점을 연계하면:

  • 샌드박스 탈출: 가상머신의 격리 환경에서 완전히 벗어남
  • 하이퍼바이저 장악: 호스트 서버의 전체 제어권 획득
  • 다른 VM 접근: 같은 호스트에서 실행 중인 다른 가상머신들에 대한 접근 가능

현실적인 위험 요소

랜섬웨어 공격: 가상화 기술은 현대 기업의 핵심 인프라이지만, 동시에 랜섬웨어 그룹들의 매력적인 공격 대상이 되고 있습니다.

APT 그룹의 표적: 패치의 크기가 크기 때문에 리버스 엔지니어링을 통한 악용은 주로 자금력이 충분한 APT 그룹들에 의해 이루어질 가능성이 높습니다.

 

 

3. 현재 상황은 어떻게 되고 있나요?

CISA의 긴급 대응

CISA는 이 취약점을 Known Exploited Vulnerabilities(KEV) 카탈로그에 추가하고, 연방 기관들에게 2025년 3월 25일까지 시스템을 보안하도록 명령했습니다.

패치 적용 현황

Shadowserver의 추적에 따르면, 24시간 만에 취약한 인스턴스가 41,450개에서 37,322개로 감소했지만, 여전히 많은 시스템이 위험에 노출되어 있습니다.

업계 전문가들의 우려

공격자의 신원과 대상은 아직 명확하지 않지만, 이미 실제 환경에서 악용이 확인되고 있어 보안 전문가들은 즉각적인 패치 적용을 강력히 권고하고 있습니다.

 

 

4. 패치 적용 방법 – 단계별 완벽 가이드

ESXi 서버 패치 적용

4-1. 사전 준비 작업

패치 적용 전 반드시 다음 작업들을 수행하세요:

  1. 백업 생성
    • VM 백업: 중요한 가상머신들의 전체 백업 생성
    • 설정 백업: ESXi 호스트 구성 백업
    • 스냅샷 생성: 패치 적용 전 VM 스냅샷 생성
  2. 시스템 현황 파악
    • 현재 ESXi 버전 확인: vmware -vl 명령어 실행
    • 실행 중인 VM 목록 확인
    • 클러스터 상태 점검

4-2. ESXi 8.0 패치 적용 방법

적용 가능한 패치 버전:

  • ESXi80U3d-24585383 (권장)
  • ESXi80U2d-24585300

패치 다운로드:

  1. Broadcom 지원 포털에 접속
  2. 해당하는 패치 파일 다운로드
  3. 패치 무결성 검증

패치 적용 절차:

# 1. 메인터넌스 모드 진입
vim-cmd hostsvc/maintenance_mode_enter

# 2. VIB 패키지 설치
esxcli software vib install -d /vmfs/volumes/datastore1/ESXi80U3d-24585383.zip

# 3. 시스템 재부팅
reboot

# 4. 패치 적용 확인
vmware -vl

4-3. ESXi 7.0 패치 적용 방법

적용 가능한 패치 버전:

  • ESXi70U3s-24585291

다운로드 링크: ESXi 7.0 패치 다운로드

4-4. ESXi 6.7 패치 적용 방법

적용 가능한 패치 버전:

  • ESXi67U3r-24585345

ESXi 6.7 사용자분들도 반드시 패치를 적용하셔야 합니다.

vCenter Server를 통한 패치 관리

Update Manager 활용 방법:

  1. vSphere Client 접속
  2. Lifecycle Manager (라이프사이클 관리자) 메뉴 선택
  3. Baselines (베이스라인) 생성
  4. Remediate (수정) 작업 수행

VMware Workstation/Fusion 패치 적용

Workstation 17.6.3 업데이트

  1. VMware Workstation 실행
  2. Help > Software Updates (도움말 > 소프트웨어 업데이트) 선택
  3. 자동 업데이트 실행 또는 수동 다운로드

Fusion 13.6.3 업데이트

  1. VMware Fusion 실행
  2. VMware Fusion > About VMware Fusion (정보) 확인
  3. 수동 다운로드 페이지에서 최신 버전 설치

 

 

5. 패치 적용 시 주의사항과 검증방법

가동 중단 시간 최소화 전략

vMotion 활용 방법

클러스터 환경에서는 vMotion을 활용하여 가동 중단 시간을 최소화할 수 있습니다:

  1. 단계별 호스트 패치: 한 번에 하나의 호스트씩 패치 적용
  2. VM 마이그레이션: 패치 대상 호스트의 VM들을 다른 호스트로 이동
  3. 순차적 패치 적용: 모든 호스트에 순차적으로 패치 적용

DRS (Distributed Resource Scheduler) 설정

클러스터 설정 > DRS > 완전 자동화 모드 활성화

이를 통해 패치 적용 중 자동으로 리소스 밸런싱이 이루어집니다.

패치 적용 후 검증 방법

1. 시스템 상태 확인

# ESXi 버전 확인
vmware -vl

# 시스템 상태 확인
esxcli system version get

# 서비스 상태 점검
esxcli system service list

2. VM 기능 테스트

  • 모든 VM이 정상적으로 부팅되는지 확인
  • 네트워크 연결 상태 점검
  • 스토리지 접근 가능 여부 확인
  • VMware Tools 상태 점검

3. 로그 파일 모니터링

# 시스템 로그 확인
tail -f /var/log/messages

# VMkernel 로그 점검
tail -f /var/log/vmkernel.log

 

 

6. 패치 적용이 어려운 경우의 임시 대응 방안

네트워크 격리 방법

Broadcom에서는 이 취약점에 대한 유효한 회피책이 없다고 확인했지만, 패치 적용이 즉시 어려운 경우 다음과 같은 임시 조치를 취할 수 있습니다:

1. 네트워크 세분화 (Network Segmentation)

ESXi 관리 네트워크 → 별도 VLAN 분리
VM 네트워크 → 제한된 네트워크 접근만 허용

2. 접근 제어 강화

  • 관리자 계정 모니터링: VM 내부의 관리자 계정 활동 실시간 감시
  • 특권 접근 관리(PAM): 관리자 권한 접근에 대한 추가 인증 단계 구현
  • 호스트 기반 방어: EDR(Endpoint Detection and Response) 솔루션 배포

3. 모니터링 강화

다음과 같은 의심 활동을 모니터링하세요:

  • VM에서 비정상적인 메모리 접근 패턴
  • VMX 프로세스의 예상치 못한 동작
  • 시스템 호출의 비정상적인 패턴

 

 

7. 자주 묻는 질문 (FAQ)

Q1: 패치 적용 후 성능에 영향이 있나요?

일반적으로 보안 패치는 성능에 미미한 영향만 미칩니다. 하지만 패치 적용 후 다음을 모니터링하세요:

  • CPU 사용률 변화
  • 메모리 사용량
  • 네트워크 처리량
  • 스토리지 I/O 성능

Q2: 온라인 패치 적용이 가능한가요?

ESXi 호스트 패치의 경우 대부분 재부팅이 필요합니다. vMotion을 활용한 무중단 패치 적용 방법을 권장합니다.

Q3: 가상화 환경이 아닌 물리 서버도 영향을 받나요?

이 취약점은 VMware 가상화 제품에 특화된 문제이므로, 물리 서버 자체에는 직접적인 영향을 주지 않습니다.

Q4: 패치 적용 시기는 언제가 적절한가요?

CISA에서 2025년 3월 25일을 패치 적용 데드라인으로 설정했지만, 이미 실제 공격이 확인된 만큼 가능한 한 빨리 적용하는 것이 좋습니다.

8. 추가 보안 강화 권장사항

가상화 환경 보안 강화

1. VM 격리 강화

  • 네트워크 격리: 서로 다른 보안 등급의 VM들을 별도 네트워크에 배치
  • 리소스 제한: VM별 CPU, 메모리, 디스크 I/O 제한 설정
  • 스냅샷 관리: 정기적인 스냅샷 생성 및 관리 정책 수립

2. 접근 권한 관리

  • 최소 권한 원칙: VM 내부 사용자에게 필요한 최소한의 권한만 부여
  • 다중 인증: 관리자 계정에 대한 MFA(Multi-Factor Authentication) 적용
  • 접근 로그 감사: 모든 관리자 활동에 대한 상세 로깅 및 정기 감사

3. 실시간 모니터링

  • SIEM 연동: VMware 로그를 SIEM 시스템과 연동하여 실시간 분석
  • 이상 행위 탐지: 머신러닝 기반 이상 행위 탐지 시스템 구축
  • 자동 대응: 의심 활동 감지 시 자동 격리 및 알림 시스템 구현

 

 

 

CVE-2025-22224는 VMware 가상화 환경에 매우 심각한 위협을 가하는 취약점입니다. 이미 실제 환경에서 악용되고 있고, 전 세계 수만 개의 시스템이 여전히 위험에 노출되어 있는 상황에서 빠른 대응이 무엇보다 중요합니다. 패치 적용이 가장 확실한 해결책이지만, 업무 연속성을 위해 단계적이고 체계적인 접근이 필요합니다. vMotion과 DRS를 활용한 무중단 패치 적용 방법을 통해 비즈니스 영향을 최소화하면서도 보안을 강화할 수 있습니다. 🙂

 

관련 링크:

 

 

댓글 남기기