HV-19 가상 머신의 불필요한 장치 제거

가이드라인 원문

항목	내용
항목코드	HV-19
점검내용	불필요한장치(USB,CD/DVD,플로피디스크,병렬포트,직렬포트)제거여부점검
점검대상	VMware ESXi, XenServer 등
판단기준	양호: 불필요한장치가가상머신에연결되지않은경우
판단기준	취약: 불필요한장치가가상머신에연결된경우
조치방법	불필요한장치연결해제적용

상세 설명

1. 항목 개요

가상 머신의 불필요한 장치 제거는 USB, CD/DVD, 플로피 디스크, 병렬 포트, 직렬 포트 등 사용하지 않는 외부 장치를 가상 머신에서 제거하는 보안 조치입니다.

이러한 장치들은 하이퍼바이저와 게스트 OS 사이의 추가적인 인터페이스를 제공하므로, 공격자가 VM Escape(가상 머신 탈출) 취약점을 이용하여 호스트 시스템을 공격하는 경로로 악용될 수 있습니다.

2. 왜 이 항목이 필요한가요?

불필요한 장치의 위험성:

공격 표면 증가
- 각 장치는 추가적인 드라이버와 코드 경로 제공
- 더 많은 취약점 노출
- 하이퍼바이저 공격 경로 증가
VM Escape 취약점
- 과거 CD-ROM(Floppy) 장치를 통한 VM Escape 사례
- Venom 취약점(CVE-2015-3456): FLOPPY 드라이버 버퍼 오버플로우
- USB 장치를 통한 공격 가능성
악성코드 실행 경로
- CD-ROM을 통한 악성 ISO 실행
- USB를 통한 악성코드 전파
- 자동 실행 기능 악용

실제 취약점 사례:

CVE	연도	장치	설명
CVE-2015-3456	2015	FLOPPY	Venom 버퍼 오버플로우 (VM Escape)
CVE-2017-4901	2017	CD-ROM	VM Escape 취약점
CVE-2020-3952	2020	USB	USB 장치 버그

위험 시나리오:

1
2
3
4
5
6
7
게스트 OS 감염 → 악성코드 실행
→ FLOPPY 장치 드라이버 취약점 공격
→ 버퍼 오버플로우
→ 하이퍼바이저 메모리 접근
→ VM Escape 성공
→ ESXi 호스트 장악
→ 전체 가상화 인프라 침해

3. 점검 대상

VMware ESXi
Citrix XenServer

4. 판단 기준

양호: 불필요한 장치가 가상 머신에 연결되지 않은 경우
취약: 불필요한 장치가 가상 머신에 연결된 경우

5. 점검 방법

VMware ESXi

Web 콘솔 접속
1
https://<VMware ESXi IP>
가상 시스템 > [가상 머신 선택] > 설정 편집 > 가상 하드웨어로 이동
다음 장치 연결 상태 확인:
- CD/DVD 드라이브
- FLOPPY 드라이브
- USB 컨트롤러
- 직렬 포트
- 병렬 포트

XenServer

호스트에 접속
PCI 장치 목록 확인:
1
lspci
블록 디바이스 목록 확인:
1
lsblk
네트워크 인터페이스 확인:
1 2 3
ifconfig # 또는 ip addr
USB 장치 확인:
1
lsusb

VM 장치 확인:

1
2
xe vm-list name-label="<VM_NAME>"
xe vbd-list vm-uuid=<VM_UUID>

6. 조치 방법

VMware ESXi

1) 개별 가상 머신에서 장치 제거

가상 머신 선택 > 설정 편집 클릭
가상 하드웨어 탭으로 이동
불필요한 장치 선택 > 제거 클릭
제거 권장 장치:
- CD/DVD 드라이브 1 (데이터 저장소 ISO 파일 사용하지 않는 경우)
- FLOPPY 드라이브 1
- USB 컨트롤러 1
- 직렬 포트 1
- 병렬 포트 1
확인 클릭

2) PowerCLI를 이용한 일괄 제거

1
2
3
4
5
6
7
8
9
# 모든 VM의 CD-ROM 제거
Get-VM | Get-CDDrive | Remove-CDDrive -Confirm:$false

# 모든 VM의 Floppy 제거
Get-VM | Where-Object {
    $_ | Get-FloppyDrive
} | ForEach-Object {
    $_ | Get-FloppyDrive | Remove-FloppyDrive -Confirm:$false
}

3) VMX 파일 직접 수정 (VM 전원 OFF 상태)

1
2
3
4
5
6
7
# VMX 파일에서 해당 라인 제거 또는 주석 처리
vi /vmfs/volumes/datastore1/VM/VM.vmx

# 제거 예
# floppy0.present = "TRUE"
# ide1:0.deviceType = "cdrom-image"
# usb.present = "TRUE"

XenServer

1) VM 장치 제거

1
2
3
4
5
6
7
8
# VM의 UUID 확인
xe vm-list name-label="<VM_NAME>"

# VBD(Virtual Block Device) 제거
xe vbd-destroy uuid=<VBD_UUID>

# VIF(Virtual Interface) 제거
xe vif-destroy uuid=<VIF_UUID>

2) 템플릿에서 제거

신규 VM 생성 시 불필요한 장치가 없는 템플릿 사용

7. 장치별 제거 가이드

CD/DVD 드라이브

제거 전 확인:

설치 시 CD/DVD 사용 여부
백업/복구 시 ISO 파일 마운트 필요 여부

제거 방법:

가상 머신 설정 편집
CD/DVD 드라이브 선택
제거 클릭

대안:

필요시에만 일시적 연결
ISO 파일을 데이터스토어에 저장 후 마운트

FLOPPY 드라이브

제거 대상:

거의 모든 현대 운영체제에서 불필요
Venom 취약점 노출

제거 방법:

가상 머신 설정에서 제거

USB 컨트롤러

제거 대상:

서버용 VM: 대부분 불필요
데스크톱용 VM: 필요 시만 유지

제거 방법:

USB 컨트롤러 제거
xHCI 또는 EHCI 컨트롤러 제거

직렬/병렬 포트

제거 대상:

레거시 장치 연결 필요 없는 경우
네트워크 기반 백업 사용 시

제거 방법:

직렬 포트 제거
병렬 포트 제거

8. 장치 제거 우선순위

우선순위	장치	위험도	설명
1	FLOPPY 드라이브	상	Venom 취약점, 거의 사용 안 함
2	CD/DVD 드라이브	상	VM Escape 사례, 필요 시만 연결
3	USB 컨트롤러	중	USB 공격 경로
4	직렬 포트	중	레거시 장치
5	병렬 포트	중	레거시 장치

9. 예외 사항

제거하지 않는 경우:

CD/DVD 드라이브
- OS 설치 중인 경우
- 백업 소프트웨어가 ISO 필요한 경우
- 제품 설치 시 CD/DVD 필요한 경우
USB 컨트롤러
- USB 라이선스 키가 필요한 소프트웨어
- USB 장치 기반 애플리케이션

예외 처리 방법:

사용하지 않을 때는 연결 해제 상태로 유지
HV-18 장치 변경 제한 설정 적용

10. 모범 사례

1) VM 템플릿 구성

불필요한 장치가 제거된 템플릿 생성
신규 VM 생성 시 템플릿 사용

2) 정책 수립

장치 연결 표준 절차 수립
예외 승인 프로세스 마련

3) 정기적 점검

월 1회 모든 VM 장치 점검
신규 VM 생성 시 즉시 점검

4) 문서화

제거된 장치 목록 관리
예외 장치 사유 기록

11. 주의사항

VM 전원 OFF 상태에서 장치 제거 (핫 플러그 가능하나 권장하지 않음)
제거 전 백업 생성
레거시 애플리케이션 동작 확인 필요
장치 제거 후 VM 기능 테스트 필요

12. 추가 보안 설정

1) HV-18 장치 변경 제한 설정 적용

1
2
isolation.device.edit.disable = TRUE
isolation.device.connectable.disable = TRUE

2) HV-20, HV-21 콘솔 기능 제한

3) 네트워크 장치 제한 (HV-22, HV-23, HV-24)

요약

모든 가상 머신에서 FLOPPY, CD/DVD, USB, 직렬/병렬 포트 등 불필요한 장치를 제거해야 합니다. 특히 FLOPPY 드라이브는 **Venom 취약점(CVE-2015-3456)**으로 인해 반드시 제거해야 합니다. 장치를 제거하면 VM Escape 공격 경로를 차단하고 보안 표면을 감소시킬 수 있습니다. 불가피하게 사용해야 하는 경우 HV-18 장치 변경 제한 설정을 함께 적용하세요.