테크룸

최신 기술 트렌드와 제품 기술 정보를 공유합니다

랜섬웨어가 서버가 아닌 가상화 인프라를 노리는 이유

2026. 07. 09

랜섬웨어 공격의 대상이 달라지고 있습니다. 과거에는 개별 PC, 파일 서버, 업무 서버를 암호화하는 방식이 많았습니다. 하지만 최근에는 공격자가 기업의 가상화 인프라 자체를 노리는 사례가 늘고 있습니다. 개별 서버 한 대를 공격하는 것보다, 여러 업무 시스템이 올라가 있는 가상화 계층을 장악하는 것이 훨씬 더 큰 피해를 만들 수 있기 때문입니다. 가상화 환경에서는 ERP, 그룹웨어, DB, 웹서버, 개발 서버, 파일 서버 등이 모두 VM 형태로 운영됩니다. 즉, 하이퍼바이저나 가상화 관리 계층에 문제가 생기면 단순히 서버 한 대의 장애가 아니라, 기업의 주요 업무 시스템 전체가 동시에 영향을 받을 수 있습니다.

4f498537d099d3560ab75be81022960a_1783574437_9554.png
 

랜섬웨어는 왜 가상화 인프라를 노릴까

가상화 인프라는 기업 IT 환경에서 매우 중요한 위치에 있습니다. 물리 서버 위에 하이퍼바이저가 있고, 그 위에 여러 VM이 올라가는 구조이기 때문입니다. 공격자 입장에서는 개별 VM을 하나씩 침해하는 것보다 하이퍼바이저나 가상화 관리 계층을 장악하는 것이 더 효율적입니다. 하이퍼바이저 권한을 확보하면 여러 VM에 동시에 영향을 줄 수 있고, VM 디스크 파일을 암호화해 업무 시스템 전체를 마비시킬 수 있습니다. Microsoft는 ESXi 하이퍼바이저가 랜섬웨어 공격자에게 매력적인 표적이 되는 이유로 두 가지를 설명했습니다. 하나는 많은 보안 제품이 ESXi 하이퍼바이저에 대한 가시성과 보호 기능이 제한적이라는 점이고, 다른 하나는 ESXi 파일 시스템을 암호화하면 그 위에 올라간 여러 VM이 함께 영향을 받을 수 있다는 점입니다. Microsoft는 이를 “몇 번의 클릭으로 대량 암호화 효과를 낼 수 있는 구조”로 설명했습니다. 결국 가상화 인프라는 공격자에게 다음과 같은 의미를 갖습니다.
공격 대상 피해 범위
개별 VM 해당 서버 또는 서비스에 영향
파일 서버 특정 데이터 영역에 영향
백업 서버 복구 수단 차단 가능
하이퍼바이저 여러 VM 동시 마비 가능
가상화 관리 계층 전체 인프라 운영 권한 위험
이제 랜섬웨어 대응은 단순히 백신을 설치하거나 파일 서버만 보호하는 수준으로는 부족합니다. 기업의 가상화 인프라 자체를 어떻게 보호하고, 문제가 발생했을 때 얼마나 빠르게 복구할 수 있는지가 중요해졌습니다.

Akira 랜섬웨어와 ESXi 취약점 사례

대표적인 사례가 Akira 랜섬웨어입니다. Microsoft는 2024년 7월 공개한 분석에서 VMware ESXi의 CVE-2024-37085 취약점이 여러 랜섬웨어 공격자에 의해 악용되었으며, 일부 사례에서는 Akira와 Black Basta 랜섬웨어 배포로 이어졌다고 설명했습니다. CVE-2024-37085는 VMware ESXi의 Active Directory 통합 인증 우회 취약점입니다. Broadcom 보안 권고에 따르면, 충분한 AD 권한을 가진 공격자가 삭제된 기본 관리 그룹인 `ESX Admins`를 다시 생성하는 방식으로 ESXi 호스트에 대한 전체 접근 권한을 얻을 수 있습니다. Broadcom은 해당 취약점에 대한 보안 업데이트와 완화 방안을 안내했습니다. NVD 역시 CVE-2024-37085를 VMware ESXi 인증 우회 취약점으로 설명하고 있으며, CISA의 Known Exploited Vulnerabilities 목록에도 추가된 이력이 있습니다. 이 사례에서 중요한 점은 단순히 “특정 랜섬웨어가 나타났다”는 것이 아닙니다. 핵심은 공격자들이 기업의 가상화 인프라를 실제 공격 대상으로 보고 있다는 점입니다. ESXi 같은 하이퍼바이저는 여러 업무 시스템을 떠받치는 기반입니다. 이 계층이 공격을 받으면 그 위에서 운영되던 VM, 서비스, 데이터가 동시에 영향을 받을 수 있습니다. 따라서 가상화 인프라 보안은 이제 선택 사항이 아니라 기업 인프라 운영의 기본 조건이 되고 있습니다.

패치되지 않은 가상화 인프라는 더 큰 위험이 됩니다

보안 사고의 상당수는 알려진 취약점이 방치된 상태에서 발생합니다. 특히 하이퍼바이저나 가상화 관리 서버는 운영 중단 우려 때문에 업데이트가 늦어지는 경우가 많습니다. 하지만 가상화 인프라의 패치가 지연되면 위험은 더 커집니다. 일반 서버 한 대의 취약점이 아니라, 여러 VM을 운영하는 기반 계층의 취약점이기 때문입니다. 운영자는 다음과 같은 항목을 지속적으로 점검해야 합니다.
  • 하이퍼바이저와 관리 서버의 보안 패치 적용 여부
  • 관리 계정과 권한 정책
  • Active Directory 연동 계정의 권한 범위
  • 관리망 접근 제한
  • 백업 저장소 분리 여부
  • 복구 테스트 수행 여부
  • 장애 발생 시 VM을 다른 노드에서 재기동할 수 있는 HA 구성 여부
랜섬웨어 대응에서 중요한 것은 “감염되지 않는 것”만이 아닙니다. 현실적으로는 사고 발생 가능성을 전제로, 빠르게 격리하고 복구하며 서비스를 이어갈 수 있는 구조를 갖추는 것이 중요합니다.

SmartECM은 ESXi 기반이 아닌 KVM 기반 가상화 플랫폼입니다

SmartECM은 VMware ESXi 기반이 아니라 KVM 기반의 가상화 플랫폼입니다. KVM은 리눅스 커널 기반 하이퍼바이저로, SmartECM 소개자료에서도 리눅스 커널 수준의 안정성과 보안성, 벤더 종속성 완화, 하드웨어 호환성을 주요 특징으로 설명하고 있습니다. 따라서 CVE-2024-37085처럼 ESXi의 Active Directory 통합 인증 구조를 악용하는 취약점에는 직접적으로 해당되지 않습니다. 즉, Akira 랜섬웨어 사례에서 문제가 된 ESXi 전용 취약점과 공격 경로에 대해서는 구조적으로 노출 범위가 다릅니다. 물론 이것이 SmartECM이 모든 랜섬웨어로부터 안전하다는 의미는 아닙니다. 어떤 가상화 플랫폼이든 관리 계정 탈취, 네트워크 침해, 백업 서버 공격, 취약한 원격 접속 경로를 통해 공격받을 수 있습니다. 다만 ESXi 기반 환경에서 발생한 특정 취약점과 동일한 방식의 공격에는 직접 노출되지 않는다는 점에서, 가상화 플랫폼 전환은 보안 리스크를 재검토하는 계기가 될 수 있습니다.

보안 패치와 접근 제어도 운영 편의성이 중요합니다

보안은 기술 자체만큼이나 운영 방식이 중요합니다. 패치가 아무리 중요해도 적용 과정이 복잡하면 실제 현장에서는 미뤄질 수 있습니다. 특히 운영 중인 VM이 많은 환경에서는 하이퍼바이저 업데이트, 노드 재기동, VM 이동, 장애 대응 절차가 부담이 됩니다. SmartECM은 웹 기반 통합 관리 환경을 통해 클러스터 전체 자원과 상태를 중앙에서 확인할 수 있습니다. 소개자료에서도 CPU, 메모리, 스토리지, 네트워크 등 클러스터 내 자원을 실시간으로 모니터링하고, 장애 대응과 운영 판단을 신속하게 수행할 수 있다고 설명하고 있습니다. 또한 VM을 다른 노드로 실시간 마이그레이션하고, 시스템 중단 없이 자원을 확장할 수 있는 구조를 제공하기 때문에 운영자는 보안 패치나 점검 작업을 보다 유연하게 계획할 수 있습니다. 관리 접근 제어 측면에서도 리눅스 기반의 방화벽 설정을 활용해 관리 포트, 접근 IP, 서비스별 통신 범위를 제한하는 구성이 가능합니다. 이는 외부에서 가상화 관리 계층에 직접 접근하는 위험을 줄이고, 관리망을 분리하거나 허용된 관리자 대역에서만 접근하도록 구성하는 데 도움이 됩니다. 결국 보안 패치는 “할 수 있느냐”보다 “운영 중에도 빠르게 적용할 수 있느냐”가 중요합니다. 가상화 인프라의 보안 수준은 패치 자체뿐 아니라, 패치를 적용하기 쉬운 운영 구조에서 결정됩니다.

랜섬웨어 이후에는 복구와 운영 연속성이 중요합니다

랜섬웨어 사고는 예방이 가장 중요하지만, 예방만으로는 충분하지 않습니다. 실제 기업 환경에서는 보안 장비, 백신, 접근 제어를 모두 갖추고도 사고가 발생할 수 있습니다. 그렇기 때문에 랜섬웨어 대응 전략에는 반드시 사후 복구와 운영 연속성이 포함되어야 합니다. SmartECM은 VM 생성, 백업, 스냅샷, 복제 기능을 하나의 플랫폼에서 제공합니다. 스케줄 기반 자동 백업과 수동 백업 기능을 지원하고, VM 디스크 상태를 저장해 문제 발생 시 손쉽게 롤백할 수 있는 기능도 제공합니다. 또한 Ceph 기반 분산 스토리지를 통해 VM 데이터를 여러 노드에 자동으로 복제·분산 저장하고, 디스크나 노드 장애 시 데이터를 정상 디스크로 복구하는 자가 치유 기능을 제공합니다. 랜섬웨어나 장애 상황에서 중요한 것은 단순히 데이터를 보관하는 것이 아닙니다. 운영 중인 VM을 얼마나 빠르게 복구할 수 있는지, 장애가 난 노드의 VM을 다른 노드에서 이어서 실행할 수 있는지, 백업과 DR 구성을 통해 서비스 중단 시간을 얼마나 줄일 수 있는지가 핵심입니다. SmartECM은 HA, 백업, DR 구성을 함께 고려할 수 있는 가상화 플랫폼입니다. SmartECM 영업자료에서도 DR·백업이 필요한 고객을 주요 도입 대상으로 보고 있으며, 클러스터 기반 HA, 동기·비동기 DR 구성, VM 단위 백업·복구를 제안 포인트로 설명하고 있습니다.

이제 가상화 플랫폼도 보안 관점에서 선택해야 합니다

가상화 플랫폼을 선택할 때 과거에는 성능, 비용, 관리 편의성이 주된 기준이었습니다. 하지만 랜섬웨어 공격이 하이퍼바이저와 가상화 관리 계층까지 노리는 지금은 보안과 복구 전략까지 함께 봐야 합니다. 중요한 질문은 다음과 같습니다.
  • 하이퍼바이저 보안 패치를 빠르게 적용할 수 있는가?
  • 관리망 접근을 제한하고 방화벽 정책을 적용할 수 있는가?
  • 장애 또는 공격 발생 시 VM을 빠르게 복구할 수 있는가?
  • 스냅샷, 백업, DR을 함께 운영할 수 있는가?
  • 특정 벤더나 특정 하이퍼바이저 취약점에 과도하게 종속되어 있지는 않은가?
랜섬웨어는 더 이상 개별 서버만 노리지 않습니다. 기업의 업무 시스템이 모여 있는 가상화 인프라 자체가 공격 대상이 되고 있습니다. 따라서 기업은 가상화 환경을 단순한 서버 통합 도구가 아니라, 장애와 보안 사고에 대비하는 핵심 인프라로 바라봐야 합니다. SmartECM은 KVM 기반의 가상화 구조, 웹 기반 통합 관리, VM 백업과 스냅샷, HA와 DR 구성을 통해 기업이 가상화 인프라를 보다 안정적으로 운영할 수 있도록 지원합니다. ESXi 기반 취약점에 직접 노출되지 않는 구조적 이점과 함께, 빠른 패치 적용, 관리 접근 제어, 사후 복구와 운영 연속성까지 고려한 인프라 전환 전략이 필요한 시점입니다. SmartECM의 VM 백업, 스냅샷, 마이그레이션, HA 등 주요 기능이 궁금하다면 SmartECM 주요 기능 페이지에서 더 자세히 확인할 수 있습니다.

상담 문의

아래 정보를 남겨주시면 담당자가 연락드립니다.

reCAPTCHA를 완료해 주세요.

상담 문의가 접수되었습니다.

빠른 시일 내에 담당자가 연락드리겠습니다.