Security

VM웨어 ESXi 제로데이 취약점, 중국 해커들은 오래 전부터 알고 있었다

문가용 기자

Published: 15:46, 09 Jan 2026 (Updated: 12:28, 14 Jan 2026)

💡

Editor's Pick
- VM웨어 ESXi에서 발견된 세 가지 제로데이 취약점
- 작년 12월에 첫 공격 사례 발표됐으나, 추적해 보니 2024년에도 공격 있어
- 제로데이 미리 알고 있었기에, 피해 점검 더 넓고 깊게 해야

소닉월 VPN을 악용해 VM웨어 ESXi를 노리는 중국 해커들의 악행이 생각보다 오래 전에 시작된 것으로 보인다고 보안 기업 헌트레스(Huntress)가 발표했다. “이 공격은 2025년 12월에 처음 발견됐는데, 추적을 해 보니 공격자들은 훨씬 전부터 공격에 사용됐던 제로데이 취약점을 알고 있었던 것으로 밝혀졌습니다. 제로데이 취약점을 장기간 자기들끼리만 알고 이용해 왔던 것입니다.”

정확히 어떤 공격 실시했나?

공격자들은 소닉월(SonicWall) VPN 장비의 취약점을 익스플로잇 하거나 크리덴셜을 훔치는 방법으로 네트워크에 최초 진입했다. 소닉월 VPN은 외부에서 기업 망 내부로 접속해 들어갈 때 사용하는 보안 장비이기 때문에, 이를 성공적으로 뚫어낼 경우 피해자 기업 내부로 자동으로 입장할 수 있기 때문에 공격자들이 원래부터 많이 노리는 편이다.

VPN을 통해 진입한 공격자들은 피해자 기업의 네트워크 내에서 횡적으로 이동하기 위한 작업을 진행했다. 헌트레스에 따르면 “도메인 관리자 크리덴셜을 확보해 내부 서버로 침투해 들어갔다”고 한다. 또한 백업 도메인 컨트롤러에서 기본 도메인 컨트롤러로 이동하여 권한을 확장하는 전술도 펼쳤다. 이렇게 함으로써 ‘핵심 자원’에, 최대한 높은 권한을 가지고 도달하는 것이 이들의 궁극적 목표였다.

여기서 말하는 ‘핵심 자원’은 이 캠페인의 경우 VM웨어 ESXi였다. 이는 일종의 하이퍼바이저로, 기업 내 가상기계를 몽땅 관리하는 장치다. 따라서 ESXi 하나에만 접근할 수 있게 된다면 공격자는 수많은 고가치 정보를 획득하게 되는 것과 마찬가지다. 이 때문에 ESXi도 해커들이 늘 군침을 흘리는, 대표적인 표적 중 하나다.

횡적 이동에 성공한 공격자들은 제일 먼저 마에스트로(Maestro)라는 익스플로잇 도구를 사용해 가상기계 탈출 공격을 수행했다. 가상기계에서 탈출하면 하이퍼바이저, 즉 ESXi에 도달하게 된다. 하이퍼바이저에서는 연결된 더 많은 가상기계들을 제어할 수 있다.

마에스트로가 가상기계 탈출을 할 때에는 세 개의 제로데이 취약점을 익스플로잇 한다. 이는 아래와 같다.
1) CVE-2025-22224: 가상기계 커뮤니케이션 관련 취약점으로, 코드 실행 공격을 가능케 한다.
2) CVE-2025-22225: 임의 쓰기 취약점으로, 샌드박스 탈출을 가능케 한다.
3) CVE-2025-22226: 메모리 유출 취약점으로 정보 유출을 야기한다.

하이퍼바이저에 진입하여 가상기계들에 대한 권한을 가져간 공격자는 하이퍼바이저에 백도어를 심었다. 뷔속퍼펫(VSOCKpuppet)이라고 하며, 공격자들은 이를 통해 원격에서 게스트 가상기계들을 제어할 수 있었다. 즉 공격 지속성을 확보하기 위해 백도어까지 심은 것이다. 이런 일련의 행위들이 지난 12월에 발견돼 차단된 것들이다. 백도어를 통해 혹은 ESXi에 대한 접근 권한을 얻은 뒤 공격자들이 한 본격적인 악행이 벌어지기 직전이었기 때문에 실질적인 피해는 없었다.

어떤 피해가 있을 수 있었을까?

12월에 차단하지 못했다면 공격자들은 누구에게 어떤 피해를 줄 수 있었을까? 헌트레스는 “하이퍼바이저 완전 장악을 통해 각종 데이터를 훔치거나 변경시킬 수 있었다”고 말한다. 또한 ESXi를 통해 랜섬웨어를 비롯 각종 멀웨어를 심음으로써 금전적으로 어마어마한 피해를 일으킬 수도 있었다고 덧붙였다.

하지만 헌트레스는 정확한 피해자가 누구인지는 공개하지 않고 있다. 12월 당시까지는 공격 대상이 극소수였다고 하며, 헌트레스와의 은밀한 공조를 통해 위협을 미리 제거할 수 있었다고만 밝혔다. 보안 업계는 피해 당사자가 누구든, 현재 ESXi를 사용하고 있는 모든 기업과 기관이 잠재적 피해자가 될 수 있다고 경고했고, 따라서 위 세 가지 제로데이 취약점에 대한 패치 적용이 필수라고 강조해 왔었다.

하지만 이번에 “공격자들이 훨씬 이전부터 제로데이 취약점에 대해 알고 있었다”는 사실이 드러나면서 상황이 조금 달라졌다. “12월의 공격을 조금 더 분석했더니 익스플로잇 개발 시점이 무려 2024년 2월이었던 것으로 밝혀졌습니다. VM웨어 측에서 ESXi의 제로데이 취약점 세 개를 패치한 게 2025년 3월이었거든요. 그러니까 공격자들은 1년 이상 이 사실을 먼저 알고 있었다는 뜻입니다. 12월에 ‘ESXi 제로데이 취약점 실제 익스플로잇이 발견됐다’고 알았었는데, 우리가 발견하지 못한 실제 사례들이 더 있을 수 있다는 것이죠.”

그렇다고 12월 당시 “피해자는 소수”라고 파악된 게 틀리다는 건 아니다. 아직까지도 보안 업계에서 발견한 ‘ESXi 제로데이 취약점 익스플로잇 공격의 피해자’는 소수로 남아 있다. ‘소수보다 많을 수 있다’는 가능성이 생겼을 뿐, ‘대규모 무작위 공격이 있었던 건 아니다’라는 사실 자체는 유효하다.

또 하나 이번 발표(‘공격자들이 훨씬 먼저 알고 있었다’)를 통해 바뀌는 건 ESXi를 최신 버전으로 업데이트 한다고 위험이 사라지는 건 아니라는 것이다. 12월에는 소수의 피해자들의 시스템만 점검해서 공격자의 흔적(예: 백도어)만 지우면 됐었다. 나머지 ESXi 사용자들은 ‘잠재적 피해자’이므로 패치만 제대로 하면 됐었다. 하지만 공격 기간이 훨씬 길었다는 게 밝혀졌으니, 누구라도 ESXi를 사용하고 있었다면 패치를 하는 것에 더해 공격자들의 흔적들을 찾아 삭제하는 작업까지도 해야 한다.

“지금부터라도 보다 능동적인 대처를 해야 한다는 의미에서 이번 조사 결과를 발표한 것”이라고 헌트레스 측은 설명한다. “패치를 했다고 하더라도 아직 뷔속퍼펫과 같은 백도어는 남아 있을 수 있습니다. 그런 것들을 찾아내 제거하는 작업을 해야 보다 안전하게 ESXi를 사용할 수 있습니다.”

왜 중국 해커들을 의심하는가?

이번 캠페인의 경우 아직 공격자의 정체가 명확히 밝혀지지는 않았다. 하지만 헌트레스는 “중국 해커의 소행일 가능성이 높다”고 보고 있다. 그 근거는 익스플로잇 코드 내부에서 중국어로 된 디렉토리 명이 발견됐기 때문이다. “코멘트에 있던 것도 아니고 하드코딩된 경로 중 하나가 중국어로 작성돼 있었습니다. 개발자가 자기 컴퓨터에서 컴파일링을 할 때 자동으로 삽입된 문자열로 보입니다. 의도적으로 꾸미기 매우 어려운 흔적이라는 것으로, 공격자의 PC 환경이 ‘중국어’로 설정됐다고 볼 수 있습니다.”

게다가 이번 캠페인의 특성이 그동안 중국 APT 조직들이 보여준 것과 비슷하기도 하다. “중국 APT 조직들은 즉시 금전을 요구하거나 파일 및 디스크를 파괴하는 행위를 하지 않습니다. 긴 기간 숨어서 최대한 많은 데이터를 빼돌리거나 하이퍼바이저처럼 핵심적인 요소들에 오래 머물러 있으려 하죠. 예를 들어 러시아의 랜섬웨어나 와이퍼 조직이라면 전혀 다른 방향으로 행동했을 겁니다.”🆃🆃🅔

by 문가용 기자(anotherphase@thetechedge.ai)