중국계 해커 그룹의 VM웨어 공격으로 본 하이퍼바이저 취약점

가상 감옥을 부수다... 중국계 해커, VM웨어 제로데이 악용해 가상 머신 격리 무력화 요약

 

• 사건 개요 : 2026년 1월 13일, 중국어권 위협 그룹 마에스트로가 VM웨어 ESXi 하이퍼바이저의 제로데이 취약점 3종을 악용해 가상 머신의 격리를 무력화하고 호스트 시스템을 장악한 사건이 보고되었다. 공격자들은 2025년 3월 공식 패치가 발표되기 1년 전인 2023년 말부터 이미 이 취약점들을 확보해 공격에 활용해 온 것으로 밝혀졌다.

 

• 피해 현황 
  • 경제적 / 기밀 피해: 하이퍼바이저 장악을 통해 가상 머신 내부에 저장된 기업의 기밀 데이터 및 정보 유출 위험 발생
  • 시스템 제어권 상실: VM 탈출(VM Escape) 공격을 통해 개별 VM을 넘어 물리적 서버(하이퍼바이저) 전체에 대한 풀 컨트롤 권한 탈취
  • 보안 우회: 가상 소켓(VSOCK) 포트를 사용하는 백도어를 심어 기존 네트워크 모니터링 시스템을 탐지 없이 통과
  • 공격 대상: 소닉월 VPN 장비를 사용하는 기업 및 VM웨어 가상화 인프라를 운영 중인 클라우드/데이터 센터

 

• 대응 상황 : 브로드컴은 관련 취약점(CVE-2025-22224, 22225, 22226)에 대한 보안 패치를 배포 완료했다. 미국 CISA는 이를 알려진 위협 목록(KEV)에 추가하여 긴급 조치를 권고했으며, 보안 전문가들은 하이퍼바이저 및 가상화 환경에 대한 보안 설계 재검토와 즉각적인 패치 적용을 강조하고 있다.

 

https://www.boannews.com/media/view.asp?idx=141466

“가상 감옥을 부수다”… 중국계 해커, VM웨어 제로데이 악용해 가상 머신 격리 무력화

---

기술 Deep Dive

< 핵심 키워드 > 

- VM 탈출(VM Escape), 하이퍼바이저 장악, 제로데이(Zero-day) 취약점, 가상 소켓(VSOCK) 백도어

 

< 공격 >

1. 초기 침투 및 거점 확보

• 소닉월 VPN 장비의 취약점을 통해 기업 네트워크 내부에 최초 침투한다.
• 이후 하이퍼바이저인 VM웨어 ESXi 서버로 접근을 시도한다.

2. 취약점 체이닝(Chaining) 및 VM 탈출

• 정보 유출(CVE-2025-22224), 메모리 손상(CVE-2025-22226), 샌드박스 탈출(CVE-2025-22225) 취약점을 연쇄적으로 악용한다.
• 마에스트로 툴을 사용해 VMCI 드라이버를 조작하고 쉘코드를 실행하여 VM이라는 가상 감옥을 부수고 나간다.

3. 백도어 설치 및 권한 장악

• 하이퍼바이저 내부에 VSOCKpuppet 백도어를 설치한다.
• 일반 네트워크가 아닌 VSOCK 포트를 통해 통신함으로써 보안 솔루션의 감시를 우회하고 원격에서 하이퍼바이저를 완전 제어한다.

 ➡️정상적인 가상화 격리 환경을 취약점 체이닝으로 무너뜨린 뒤, 네트워크 모니터링이 닿지 않는 특수 통로(VSOCK)를 통해 서버 전체를 장악하는 고도화된 방식이다.

 

< 방어 > 

• 하이퍼바이저 관련 제로데이 취약점은 치명적이므로 제조사에서 제공하는 최신 보안 패치를 즉시 적용한다.
• VPN 등 외각 접점 장비에 대한 취약점 관리를 강화하여 하이퍼바이저로의 접근 경로를 차단한다.
• 일반적인 TCP/IP 외에 VSOCK 등 특수 프로토콜을 이용한 비정상적인 내부 통신 흐름이 있는지 모니터링을 강화한다.

 

< 모르는 키워드 정리 > 

 

하이퍼바이저 (Hypervisor) 

💡하나의 물리적 서버 위에서 여러 개의 가상 머신을 실행하고 관리하는 운영체제 위의 운영체제와 같은 소프트웨어

(ex. VMware ESXi)

 

- 공격자가 하이퍼바이저를 장악했다는 것은 해당 물리 서버에서 돌아가는 모든 가상 머신의 제어권을 손에 넣었음을 의미

- 개별 VM 보안을 아무리 강화해도 관리자 층이 뚫겼기 때문에 무용지물이 됨

 

VM 탈출 (VM Escape)

💡가상 머신 내부에 갖혀 있어야 할 프로그램이나 사용자가 하이퍼바이저의 취약점을 이용해 가상화 장벽을 뚫고 호스트 시스템으로 빠져나오는 공격

 

- 가상화의 대원칙인 격리를 무력화함

- 이번 사건에서는 가상 감옥을 부수고 나와 물리 서버의 커널 권한을 획득하는 데 성공했음

 

제로데이 취약점

💡보안 취약점이 발견되었지만, 아직 제조사에서 공식적인 보안 패치를 내놓지 않은 상태의 약점을 말함

 

- 이번 사건 같은 경우 공격자들은 공식 패치가 나오기 1년 전부터 이미 3종의 취약점을 확보하여 사용함

- 방어자가 취약점의 존재조차 모르는 상태에서 공격하기 때문에 기존 보안 솔루션으로 막기가 거의 불가능함

 

체이닝(Chaining)

💡단일 취약점 하나로는 시스템을 완전히 장악하기 어려울 때, 여러 개의 취약점을 사슬처럼 연결하여 최종 목표를 달성하는 기법

 

- A라는 약점으로 시스템 정보를 알아내고, B라는 약점으로 코드 실행 권한을 얻은 뒤, C라는 약점으로 관리자 권한까지 상승시키는 방식

 

VMCI (Virtual Machine Communication Interface) 드라이버

💡가상 머신과 하이퍼바이저 간, 혹은 가상 머신들끼리 고속으로 통신할 수 있도록 지원하는 VMware의 전용 인터페이스

 

- 네트워크 스택을 거치지 않고 메모리를 직접 참조하거나 전용 채널을 사용하므로 지연 시간이 매우 짧음

- 물리적 네트워크 카드(NIC) 설정과 관계없이 가상화 환경 내부에서만 작동함 

 

 ➡️하이퍼바이저와 직접 연결되는 통로이기 때문에, 이 드라이버에 취약점이 생기면 VM 탈출의 핵심 경로가 될 위험이 큼

 

가상 소켓 (VSOCK) 백도어

💡 표준 TCP/IP 네트워크망이 아닌, 가상화 환경 내부의 전용 통신 규약인 VSOCK 포트를 이용해 공격자와 통신하는 뒷문(Backdoor)

 

- 기업의 방화벽이나 IDS/IPS는 보통 외부 인터넷망(IP 기반)을 감시함

- VSOCK은 가상화 내부망에서만 흐르기 때문에 기존 네트워크 보안 장비에 흔적을 남기지 않고 명령을 주고받을 수 있음

 

VSOCKpuppet 백도어

💡공격자가 하이퍼바이저를 장악한 후 지속적으로 접속하기 위해 심어놓은 특정 백도어 프로그램

 

- 일반적인 기업용 방화벽이나 침입 탐지 시스템은 IP 기반 트래픽만 감시함

(가상화 내부의 채널이므로 외부 보안 장비에 아예 잡히지 않음)

- 네트워크를 차단해도 가상화 인터페이스가 살아있는 한 공격자는 내부에서 명령을 내릴 수 있음

- 가상 머신 내부의 방화벽 설정까지 무력화하며 하이퍼바이저와 직접 대화함

 

---

보안 인사이트

사고 원인 분석

 

1. 장기 잠복형 제로데이 공격의 위협

• 패치 공개 훨씬 전부터 취약점을 발굴해 사용하는 고도의 자금력과 기술력을 갖춘 위협 그룹이 존재한다.
• 이들이 기업 인프라의 근간인 가상화 층을 직접 타겟팅하고 있다.

2. 공격 도구의 조직적 유통

• 중국어 문자열과 사용 설명서가 포함된 툴이 발견된 것으로 보아 이러한 고성능 해킹 툴이 폐쇄적인 그룹 내에서 체계적으로 개발 및 유통되고 있음을 시사한다.

 

보안 대책 제안

1. 가상화 계층 보안 강화

• 클라우드 및 가상화 인프라를 운영할 때 하이퍼바이저를 독립된 핵심 자산으로 간주하고, 이에 대한 접근 제어와 무결성 검증을 최우선으로 해야 한다고 생각한다.

2. 접점 장비 보안 강화

• 가상화 서버로 가는 관문인 VPN 장비의 취약점이 시발점이 되었으므로, 외부 노출 장비에 대한 MFA 적용 및 취약점 상시 모니터링이 필수적이라고 생각한다.

 

오늘의 한 줄 평

 ✅ 가상화라는 보안 방법도 제로데이 앞에서는 무너질 수 있음을 인지하고, 인프라의 가장 깊숙한 곳까지 제로 트러스트 관점의 보안 감시 체계를 확장해야 한다는 것을 알게 되었다.