가상 패치: vDefend와 Avi로 AI가 발견하는 취약성 ‘쓰나미’에 대비하기
Source: VMware Blog
시리즈로 게재한 VCF 9.1 기사인데, 오늘은 저희 Broadcom의 애플리케이션·네트워킹·보안 사업부장인 Umesh Mahajan의 글을 소개합니다. 참고해 주세요.
디지털 환경이 AI 시대에 진입하면서, 애플리케이션을 보호하는 기존 방식은 근본적인 과제에 직면하고 있습니다. 고도화된 AI 모델이 등장하면서 공격자 측의 우위가 커지고 있으며, AI를 활용하면 경험이 부족한 공격자라도 매우 낮은 비용과 전례 없는 규모로 반자동적으로 활동하면서 고급 해커로 무장하고 있습니다. 랜섬웨어 조직이나 국가 주도 공격자가 이러한 사이버 무기를 사용해 초래할 수 있는 막대한 피해를 상상해 보세요. 최근 랜섬웨어 공격으로 기업 업무가 몇 주에서 몇 달까지 중단되고 수억 달러 규모의 경제적 손실이 발생하고 있습니다. 사이버 복원력을 유지하려면 조직은 사후 대응형 보안에서 탈피해, 라테랄 보안과 가상 패치 적용을 중심으로 한 다계층 방어 전략을 조기에 수행해야 합니다.
최첨단 AI 모델은 알려지지 않은(제로데이) 소프트웨어 취약점(버그)을 식별하고, 이를 악용하는 방법을 찾아내는 지능을 갖추고 있으며, 그 속도는 그 어느 때보다 빠릅니다. 공격자는 이러한 취약점을 이용해 기업·조직의 디지털 환경에 침투하고, 수평으로 확산·호핑·헌팅을 수행해 금전 요구나 기밀 정보 탈취를 목표로 고가치 자산을 찾아냅니다. 공격자는 반자동적으로 광범위·대량·또는 표적형 공격을 시작할 수 있어, 공격 대상 영역이 기하급수적으로 확대됩니다. “숨김에 의한 보안”은 이제 유효한 사이버 보안 전략이라고 할 수 없습니다.
기업·조직이 소프트웨어 취약점에 대해 신속히 패치를 적용하면 보안 침해 위험과 그 확산을 확실히 억제할 수 있습니다. 하지만 이는 매우 오래 걸리고 막대한 리소스를 요구하는 작업입니다. 수천 개의 소프트웨어 도구와 애플리케이션이 존재하고, 각각이 서로 다른 버전을 가지고 있으며, 다양한 하드웨어·운영체제에 배포되고 여러 데이터센터에 분산되어 있습니다. 대규모 조직에서는 전체에 패치를 배포하는 “패치 적용 레이스”에 몇 주에서 몇 달이 소요돼, 조직은 침입·금전 요구·업무 중단 위험에 계속 노출됩니다.
워크로드와 애플리케이션을 향한 이러한 취약점 공격의 파도를 빠르게 방어하고 위험을 낮추기 위해, 기업은 프라이빗 클라우드 워크로드에 대해 다음 두 가지 주요 방어책에 집중해야 합니다:
- 침입 방지 시스템(IPS) 및 웹 애플리케이션 방화벽(WAF)을 활용한 가상 패치 적용 구현
- 라테랄 세그멘테이션을 통한 공격 확산 억제
가상 패치 적용이란?
가상 패치 적용은 자산의 프런트엔드에 있는 네트워크 또는 애플리케이션 전달 레벨에서 보안 정책 층을 구현해 자산을 보호하는 취약점 대응 방식입니다. 이 방식을 통해 취약한 소프트웨어에 도달하기 전에 공격을 차단·차단하고, 소프트웨어 자체가 아니라 통신 경로상의 결함에 효과적으로 “패치를 적용”합니다.
가상 패치 적용의 주요 장점
- 애플리케이션 가용성: 위험을 경감하면서 애플리케이션·자산의 가용성을 확보합니다
- 코드 변경 불필요: 소프트웨어 업데이트나 패치 배포 없이 애플리케이션을 보호합니다. 소프트웨어 패치는 기능 후퇴를 일으킬 수 있지만, 이 접근법은 그 위험을 제거합니다
- 타깃형 시그니처: 오탐 및 성능 영향 위험을 낮춥니다
- 제로데이 보호: 공식 패치가 아직 없는 취약점에 신속히 대응합니다
- 레거시 시스템 지원: 비즈니스 운영에 여전히 필수적인 지원 종료된 구식 시스템을 보호합니다. 레거시 애플리케이션에 패치가 존재하지 않을 수도 있습니다
- 시간 확보: 취약점에 그대로 노출된 채로 두지 않고, 영구적인 벤더 패치를 보안 팀이 테스트·배포할 시간을 확보합니다
- 컴플라이언스 지원: PCI‑DSS, HIPAA 등 다수 규제에서는 적시 보안 대책 도입이 컴플라이언스 충족에 필요합니다
vDefend 분산형 IDPS: 하이퍼바이저 내장형 가상 패치 적용
VMware vDefend는 보안 기능을 VMware Cloud Foundation(VCF) 하이퍼바이저·패브릭에 직접 통합함으로써 워크로드에 대한 가상 패치 적용에 혁신적인 접근을 제공합니다. vDefend IDPS(침입 탐지·방지 시스템)는 모든 워크로드의 vNIC에 직접 적용되어, VCF 프라이빗 클라우드 내를 이동하는 애플리케이션 트래픽(모든 패킷)을 상세하고 정밀하게 검사하며, 특히 네트워크 계층 취약점 공격과 라테랄 무브먼트에 대응합니다.
vDefend IDPS에 의한 가상 패치 적용
- 하이퍼바이저 통합 검사: vDefend의 분산형 IDPS는 모든 VCF 워크로드의 vNIC에서 네트워크 트래픽을 검사합니다. 이를 통해 패치가 적용되지 않은 서버가 외부·내부에서 발생하는 공격에 악용되는 것을 방지합니다.
- 자동화된 동적 정책: 취약점 스캔을 수행해 워크로드를 식별하고 적절한 태그를 부여한 뒤, 제한된 IDPS 시그니처 세트를 사용해 가상 패치를 적용하는 정책을 생성합니다. 새로운 취약 워크로드가 식별·태깅되면 정책이 자동으로 적용돼, 취약 워크로드가 즉시 보호됩니다.
- 라테랄 보안: IDPS는 공격자가 취약점을 악용해 환경 내에서 수평 이동(궁극적으로 고가치 자산을 침해)하는 것을 방지해 공격 확산을 차단합니다.
취약점 대응 사례
-
Moveit Transfer 인증 우회 (CVE‑2024‑5806)
Moveit Transfer의 SFTP 모듈에 존재하는 이 취약점으로 공격자는 인증을 우회해 비밀번호 없이 파일을 탈취할 수 있었습니다. vDefend는 초기 연결 단계에서 “불충분한 검증”이라는 로직 패턴을 탐지해 공격을 사전에 차단합니다. -
Ni8mare (CVE‑2026‑21858)
n8n 자동화 플랫폼에 존재하는 인증이 필요 없는 RCE 취약점으로, 공격자는 “Content‑Type 혼동”을 이용해 시스템을 완전 장악할 수 있었습니다. vDefend는 이러한 비정상적인 JSON 페이로드와 악성 헤더 불일치를 식별해, 내부 워크플로우가 탈취되어 데이터센터 내에서 수평 이동하기 전에 공격을 차단합니다. -
Log4Shell (CVE‑2021‑44228)
vDefend IDPS는 Log4Shell 취약점을 악용하려는 시도를 탐지·차단합니다. Java Naming and Directory Interface(JNDI) 취약점을 이용하면 악성 스크립트를 다운로드해 원격 코드 실행이 가능해지며, 이를 통해 대상 시스템을 완전 제어할 수 있습니다. (데모: VMware vDefend ATP에 의한 Log4Shell 대응 – 영어)
vDefend의 강점
이러한 사례에서 vDefend IDPS가 강력한 이유는 아키텍처적 우위, 시그니처 전략, 운영상의 단순성에 있습니다.
- 속도: AI 기반 위협이 만연한 현대에서는 속도가 무엇보다 중요합니다. vDefend에 내장된 클로즈드 루프 보안 아키텍처는 VCF 프라이빗 클라우드 플랫폼과 통합돼 탐지뿐 아니라 신속한 완화 조치를 제공해 공격자의 잠복 시간을 크게 단축합니다.
- 시그니처 업데이트: vDefend IDPS는 하루에 여러 차례 업데이트되는 시그니처를 지원해 최신 글로벌 위협으로부터 확실히 보호합니다. Broadcom에는 새로운 취약점 공격을 분석·시그니처를 제작·번들 업데이트하는 위협 인텔리전스 팀이 존재합니다.
- 맞춤 시그니처: IDPS는 커스텀 시그니처를 지원합니다. 고객은 서드파티 신뢰 시그니처를 가져오거나 자체 개발해 애플리케이션에 가상 패치를 적용할 수 있어, 진정한 맞춤형 보안 체계를 구현합니다.
vDefend 분산형 방화벽: 비정상적인 수평 확산 제한
위협의 수평 확산을 더욱 억제하기 위해 vDefend는 고성능 하이퍼바이저 내장형 레이어 7 [분산형 방화벽](https://www.vmware.com/products/security/vdefend-distributed-fire