VM웨어 취약점 1년간 악용해온 중국 해킹그룹 사례 발견…최신 패치 필요

[아이티데일리] 중국과 연계된 해킹그룹이 VM웨어(VMware) 제품의 보안 취약점을 지난해 10월부터 거의 1년간 악용해온 사실이 확인됐다. 특히 이번 사례는 상당히 단순한 공격 방식에 기반한다는 점이 특징적으로, 다수의 악성코드가 수년간 ‘우연히’ 이를 활용했을 가능성이 높다는 점이 눈길을 끌고 있다.

벨기에 브뤼셀에 본사를 둔 침투 테스트 및 사고 대응 서비스 전문 기업 엔비소(NVISO)는 VM웨어의 CVE-2025-41244 취약점을 중국 해킹그룹 UNC5174가 악용한 것을 발견했다고 밝혔다. 해당 취약점은 엔비소가 제보해 브로드컴이 9월 29일 패치와 함께 사실을 공개했다. 취약점은 VM웨어 툴(VMware Tools)과 VM웨어 아리아 오퍼레이션(VMware Aria Operations)에 영향을 미치며, 일반 사용자가 관리자 권한을 탈취할 수 있게 한다.

공격 원리는 단순하다. 취약점의 핵심은 VM웨어가 서비스 버전을 확인하는 과정에 있다. VM웨어는 시스템에서 실행 중인 서비스를 찾기 위해 다양한 프로그램 파일을 검색하는데, 이때 /tmp/httpd처럼 사용자가 만든 가짜 파일도 진짜 시스템 파일로 착각해 관리자 권한으로 실행한다.

공격자는 단순히 /tmp 폴더에 httpd나 mysqld 같은 일반적인 서버 프로그램 이름으로 악성 파일을 만들고 네트워크 연결을 열어두기만 하면 된다. VM웨어가 5분마다 실행하는 서비스 점검 과정에서 이 파일이 자동으로 관리자 권한을 얻게 된다.

국내 보안 업계 관계자는 “악성코드 제작자들은 흔히 시스템 파일 이름을 모방하고는 한다”며 “따라서 수많은 악성코드가 의도치 않게 이 취약점의 혜택을 받았을 것”이라고 말했다. 특히 httpd, nginx 등의 이름을 사용하는 악성코드들이 수년간 은밀히 관리자 권한을 획득했을 가능성이 높은 것으로 분석된다.

이번 취약점은 VM웨어 클라우드 파운데이션(VMware Cloud Foundation) 4.x/5.x, VM웨어 도구 11.x-13.x, VM웨어 아리아 오퍼레이션 8.x 등 광범위한 제품에 영향을 미친다. 리눅스 배포판의 ‘open-vm-tools’도 동일한 문제를 포함하고 있어 패치 범위가 더욱 확대된다.

다행히 공격 탐지는 비교적 쉽다. VM웨어 관련 프로세스의 비정상적인 하위 프로세스를 모니터링하면 공격을 발견할 수 있다. 해결책 역시 최신 패치를 적용하기만 하면 된다. 

NVISO는 지난 5월 UNC5174 사고 대응 과정에서 이 취약점을 발견해 브로드컴에 신고했다. 현재 공격 코드가 공개된 상황에서 추가 악용이 예상되므로, VM웨어 환경을 사용하는 기업들은 즉시 최신 버전으로 업데이트해야 한다.

한편 브로드컴은 CVE-2025-41244 외에도 정보 유출과 관련된 CVE-2025-41245, 윈도우 VM웨어 도구의 권한 부여 문제인 CVE-2025-41246 등 총 3개의 중요 취약점을 함께 공개했다.