지난 3월, VMware 사용자들에게는 마치 찬물을 끼얹는 듯한 소식이 전해졌습니다. 마이크로소프트 위협 인텔리전스 센터에서 발견한 CVE-2025-22226을 비롯한 세 가지 고위험 취약점이 이미 실제 공격에 악용되고 있다는 것이었습니다. 특히 VMware Fusion 사용자라면 더욱 주의 깊게 살펴봐야 할 이유가 있습니다. 이번 취약점은 단순한 이론상의 위험이 아닌, 현재진행형 위협이기 때문입니다. CISA(미국 사이버보안 및 인프라 보안청)에서도 2025년 3월 25일까지 반드시 패치할 것을 권고하고 있을 정도입니다.
1. CVE-2025-22226 취약점 핵심 분석
취약점의 정체와 위험성
CVE-2025-22226은 VMware ESXi, Workstation, Fusion의 HGFS(Host-Guest File System)에서 발생하는 정보 공개 취약점입니다. HGFS는 호스트와 게스트 가상머신 간의 파일 공유를 담당하는 중요한 시스템 구성요소입니다.
취약점 상세 정보:
- CVSS 점수: 7.1 (Important 등급)
- 공격 벡터: 로컬 (Local)
- 권한 요구사항: 가상머신 관리자 권한
- 영향 범위: 기밀성 침해 (Confidentiality Impact)
악의적인 공격자가 가상머신에 대한 관리자 권한을 획득한 경우, 이 취약점을 통해 VMX 프로세스의 메모리 정보를 유출할 수 있습니다. 이는 비밀번호, 암호화 키, 또는 기타 민감한 데이터가 포함될 수 있어 심각한 보안 위험을 초래합니다.
현실적인 공격 시나리오
실제 환경에서 이 취약점이 어떻게 악용될 수 있는지 살펴보겠습니다:
- 멀티 테넌트 환경: 클라우드 서비스나 공유 가상화 환경에서 한 테넌트가 다른 테넌트의 데이터에 접근할 위험
- 개발/테스트 환경: 개발자가 사용하는 가상머신에서 민감한 호스트 정보 유출 가능성
- 기업 네트워크: 내부 공격자나 권한 상승 공격을 통한 추가 정보 수집
2. 영향받는 VMware Fusion 버전 확인하기
패치 적용 전, 먼저 현재 사용 중인 VMware Fusion 버전을 확인해야 합니다.
macOS에서 버전 확인 방법
방법 1: 메뉴를 통한 확인
- VMware Fusion 실행
- 상단 메뉴에서 VMware Fusion > About VMware Fusion 클릭
- 버전 정보 확인
방법 2: 터미널을 통한 확인
/Applications/VMware\ Fusion.app/Contents/MacOS/VMware\ Fusion --version
취약한 버전 범위
VMware Fusion 13.x 버전 중 13.6.3 미만의 모든 버전이 이 취약점에 영향을 받습니다. 구체적으로:
| 제품 | 취약한 버전 | 패치된 버전 |
|---|---|---|
| VMware Fusion | 13.0 ~ 13.6.2 | 13.6.3 이상 |
| VMware Fusion Pro | 13.0 ~ 13.6.2 | 13.6.3 이상 |
3. VMware Fusion 13.6.3 패치 다운로드 및 설치 가이드
패치 다운로드 방법
VMware Fusion Pro는 현재 상업적, 교육적, 개인적 사용 모두에 대해 무료로 제공되며, 라이선스 키가 더 이상 필요하지 않습니다.
공식 다운로드 경로:
- Broadcom Support Portal 접속
- 계정 생성 또는 로그인 (무료)
- VMware Fusion 13.6.3 다운로드
- Intel 기반 Mac 또는 Apple Silicon Mac용 적절한 버전 선택
단계별 설치 과정
1단계: 기존 가상머신 백업
# Time Machine 백업 확인 또는 수동 백업
cp -R ~/Virtual\ Machines ~/Desktop/VM_Backup_$(date +%Y%m%d)
2단계: 현재 실행 중인 가상머신 종료
- 모든 가상머신을 정상적으로 종료 (Shutdown)
- VMware Fusion 애플리케이션 완전 종료
3단계: 기존 VMware Fusion 제거
- Applications 폴더에서 VMware Fusion 우클릭
- Move to Trash 선택
- 관리자 권한으로 완전 제거:
sudo /Applications/VMware\ Fusion.app/Contents/Library/vmware-uninstall-tools
4단계: 새 버전 설치
- 다운로드한
.dmg파일 실행 - VMware Fusion 아이콘을 Applications 폴더로 드래그
- 설치 완료 후 애플리케이션 실행
- 라이선스 동의 및 초기 설정 완료
5단계: 설치 확인
/Applications/VMware\ Fusion.app/Contents/MacOS/VMware\ Fusion --version
출력 결과에서 13.6.3 이상 버전 확인
4. HGFS(Host-Guest File System) 보안 강화 설정
패치 적용 외에도 HGFS 기능 자체를 제한하여 추가적인 보안층을 구축할 수 있습니다.
HGFS 기능 이해하기
HGFS는 가상머신과 호스트 간의 파일 공유를 담당하는 구성요소로, 공유 폴더(Shared Folders) 기능의 핵심입니다. 하지만 높은 보안이 요구되는 환경에서는 이 기능을 비활성화하여 공격 표면을 줄일 수 있습니다.
가상머신별 HGFS 비활성화 방법
방법 1: VMware Fusion GUI를 통한 설정
- VMware Fusion에서 대상 가상머신 선택
- Virtual Machine > Settings (또는 ⌘+E) 클릭
- Sharing 탭 선택
- Enable shared folders 체크 해제
- Isolation 섹션에서 고급 설정 접근
- Advanced Options > Configuration Parameters 클릭
- 다음 매개변수 추가:
| 매개변수 명 | 값 | 설명 |
|---|---|---|
isolation.tools.hgfsServerSet.disable |
TRUE |
HGFS 서버 등록 비활성화 |
isolation.tools.hgfs.disable |
TRUE |
HGFS 기능 완전 비활성화 |
방법 2: .vmx 파일 직접 편집
# 가상머신 종료 후 .vmx 파일 찾기
find ~/Virtual\ Machines -name "*.vmx" -type f
# 텍스트 에디터로 파일 열기
nano "/path/to/your/vm.vmx"
# 다음 라인 추가
isolation.tools.hgfsServerSet.disable = "TRUE"
isolation.tools.hgfs.disable = "TRUE"
비활성화 시 주의사항
HGFS를 비활성화하면 VMX 프로세스가 도구 프로세스의 명령에 응답하지 않게 됩니다. 이로 인해 다음 기능들이 제한될 수 있습니다:
- 공유 폴더 기능 완전 사용 불가
- VMware Tools 자동 업그레이드 제한
- 일부 VIX 명령어 작동 불가
- 파일 드래그 앤 드롭 기능 제한
5. 패치 적용 후 보안 검증 방법
취약점 스캔 도구 활용
Qualys 고객의 경우: QID 216335, 216336, 382908, 382910을 사용하여 취약한 자산을 탐지할 수 있습니다.
Nessus 사용자의 경우: Nessus Plugin ID 222492를 통해 VMware Fusion 13.x < 13.6.3 버전의 HGFS 취약점을 탐지할 수 있습니다.
수동 검증 방법
1단계: 버전 확인
/Applications/VMware\ Fusion.app/Contents/MacOS/VMware\ Fusion --version
# 출력: VMware Fusion 13.6.3 이상이어야 함
2단계: HGFS 설정 확인
# 가상머신 .vmx 파일에서 HGFS 설정 확인
grep -i "hgfs" ~/Virtual\ Machines/*/*.vmx
3단계: 로그 모니터링
# VMware 로그에서 HGFS 관련 활동 모니터링
tail -f ~/Library/Logs/VMware/*.log | grep -i hgfs
6. 추가 보안 강화 방안
가상머신 격리 강화
패치 적용과 함께 다음과 같은 추가 보안 조치를 권장합니다:
네트워크 격리 설정:
- Virtual Machine > Settings > Network Adapter
- NAT 대신 Host-only 네트워크 사용 검토
- 불필요한 네트워크 어댑터 제거
권한 최소화:
# 가상머신 파일 권한 제한
chmod 700 ~/Virtual\ Machines/
chmod 600 ~/Virtual\ Machines/*/*.vmx
모니터링 및 로깅 강화
시스템 로그 모니터링:
# VMware 관련 활동 모니터링
sudo log stream --predicate 'subsystem contains "com.vmware"' --level debug
보안 이벤트 추적:
- 가상머신 내 관리자 권한 활동 모니터링
- 비정상적인 메모리 접근 패턴 탐지
- HGFS 관련 의심스러운 활동 추적
7. 자주 묻는 질문 (FAQ)
Q: 패치 적용 후 기존 가상머신이 정상 작동하지 않는다면?
A: 다음 순서로 문제를 해결해보세요:
- VMware Tools 재설치
- 가상머신 설정 파일 (.vmx) 백업본으로 복원
- 호환성 모드로 가상머신 재시작
- 필요시 Broadcom 지원센터 문의
Q: HGFS를 비활성화해도 파일 공유가 필요한 경우는?
A: 다음 대안들을 활용할 수 있습니다:
- 네트워크 공유: SMB, NFS 등 표준 프로토콜 사용
- 클라우드 스토리지: Dropbox, Google Drive 등 활용
- USB 패스스루: 물리적 저장장치 직접 연결
Q: 이 취약점이 다른 VMware 제품에도 영향을 주나요?
A: 네, CVE-2025-22226은 VMware ESXi와 Workstation에도 동일하게 영향을 줍니다. 각 제품별로 해당하는 패치를 적용해야 합니다.
CVE-2025-22226과 같은 취약점이 이미 실제 공격에 악용되고 있다는 사실은 우리에게 중요한 교훈을 줍니다. 가상화 기술의 편리함 뒤에는 항상 보안 위험이 도사리고 있으며, 이에 대한 지속적인 관심과 대응이 필요하다는 것입니다. 오늘 소개한 패치 적용과 HGFS 보안 강화 설정은 단순히 일회성 작업이 아닙니다. 정기적인 보안 업데이트 확인, 시스템 모니터링, 그리고 새로운 위협에 대한 지속적인 학습이 뒷받침되어야 진정한 보안을 달성할 수 있습니다.
관련 링크:
- VMware 공식 보안 권고 VMSA-2025-0004
- CVE-2025-22226 상세 정보
- Broadcom Support Portal
- VMware Fusion 13.6.3 릴리스 노트