2026 주정통 가이드라인

[2026 주요정보통신기반시설] HV-22 가상 스위치 MAC 주소 변경 정책 비활성화

MAC주소변경정책비활성화여부점검

HV-22 가상 스위치 MAC 주소 변경 정책 비활성화

가이드라인 원문

항목내용
항목코드HV-22
점검내용MAC주소변경정책비활성화여부점검
점검대상VMware ESXi 등
판단기준양호: 가상스위치MAC주소변경정책이거부로설정된경우
판단기준취약: 가상스위치MAC주소변경정책이허용으로설정된경우
조치방법가상스위치MAC주소변경정책거부설정

상세 설명

1. 항목 개요

가상 스위치의 MAC 주소 변경 정책(MAC Address Changes Policy)은 가상 머신이 자신의 vNIC(가상 네트워크 인터페이스)의 MAC 주소를 변경하는 것을 허용하거나 거부하는 보안 설정입니다.

이 정책을 **거부(Reject)**로 설정하면, 게스트 OS 내에서 MAC 주소 스푸핑을 시도하는 악성코드 또는 공격자의 시도를 차단할 수 있습니다.

2. 왜 이 항목이 필요한가요?

MAC 주소 스푸핑의 위험성:

  1. 네트워크 스니핑

    • 다른 VM의 MAC 주소로 위장
    • 프레임 가로채기
    • MITM(Man-in-the-Middle) 공격

  2. 네트워크 혼란

    • MAC 주소 중복으로 네트워크 충돌
    • 스위치 MAC 테이블 오염
    • 서비스 거부

  3. 보안 우회

    • MAC 필터링 우회
    • NAC(Network Access Control) 우회
    • 무선 AP 가짜(AP Spoofing)

위험 시나리오:

1
2
3
4
5
6

악성코드 감염 VM → MAC 주소 스푸핑 시도
→ 타겟 VM의 MAC 주소로 위장
→ 가상 스위치가 위장된 MAC 수락
→ 타겟 VM으로 향하는 트래픽 가로채기
→ 중요 정보 탈취
→ 로그에는 원본 MAC으로 기록되어 추적 어려움

3. 점검 대상

  • VMware ESXi

4. 판단 기준

  • 양호: 가상 스위치 MAC 주소 변경 정책이 거부로 설정된 경우
  • 취약: 가상 스위치 MAC 주소 변경 정책이 허용으로 설정된 경우

5. 점검 방법

VMware ESXi

  1. Web 콘솔 접속

    1

    https://<VMware ESXi IP>

  2. 네트워킹 > 가상 스위치 > [가상 스위치 선택] > 설정 편집 > 보안으로 이동

  3. MAC 주소 변경 정책 확인

양호 기준:

  • MAC 주소 변경: 거부

취약 기준:

  • MAC 주소 변경: 허용

6. 조치 방법

VMware ESXi

1) 가상 스위치 설정 변경

  1. 네트워킹 > 가상 스위치로 이동

  2. 변경할 가상 스위치 선택 > 설정 편집 클릭

  3. 보안 탭으로 이동

  4. MAC 주소 변경 정책을 거부로 변경

  5. 저장 클릭

2) 분산 스위치(Distributed Switch) 설정

  1. 네트워킹 > 분산 스위치 > [분산 스위치 선택]

  2. 설정 편집 > 보안 > MAC 주소 변경

  3. 거부로 설정

3) PowerCLI를 이용한 일괄 설정

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16

# 모든 표준 스위치에 MAC 주소 변경 거부 설정
Get-VirtualSwitch | ForEach-Object {
    $sw = $_
    # MAC 주소 변경 거부
    $sw | Get-SecurityPolicy | Set-SecurityPolicy `
        -MacChangesReject $true -Confirm:$false
    Write-Host "MAC 주소 변경 거부 설정 완료: $($sw.Name)"
}

# 분산 스위치
Get-VDSwitch | ForEach-Object {
    $vds = $_
    $vds | Get-VDSecurityPolicy | Set-VDSecurityPolicy `
        -MacChangesReject $true -Confirm:$false
    Write-Host "분산 스위치 MAC 주소 변경 거부 설정 완료: $($vds.Name)"
}

7. 보안 정책 옵션

정책설명권장 대상
허용MAC 주소 변경 허용취약
거부MAC 주소 변경 거부모든 스위치 (권장)

8. MAC 주소 스푸핑 공격 이해

공격 유형:

  1. ARP 스푸핑

    • 게이트웨이 MAC 주소로 위장
    • 모든 트래픽 자신에게 유도

  2. MAC 플러딩

    • 무작위 MAC 주소로 패킷 전송
    • 스위치 MAC 테이블 오염
    • 스위치 허브 모운 전락

  3. VM 클로닝

    • 동일한 MAC 주소 사용
    • 네트워크 충돌 유발

9. 함께 적용해야 할 설정

HV-23 무차별 모드 비활성화

1

무차별 모드: 거부

HV-24 위조 전송 비활성화

1

위조 전송: 거부

3가지 설정 모두 적용 시:

1
2
3

MAC 주소 변경: 거부
무차별 모드: 거부
위조 전송: 거부

10. 예외 사항

MAC 주소 변경이 필요한 경우:

  1. NLB(Network Load Balancing)

    • Microsoft NLB는 멀티캐스트 MAC 사용
    • 유니캐스트 모드는 MAC 변경 필요

  2. 고가용성 클러스터링

    • 일부 클러스터 솔루션은 MAC 변경 필요

  3. 이중화 소프트웨어

예외 처리 방법:

  • 해당 포트그룹만 허용으로 설정
  • VLAN으로 분리하여 격리
  • 별도의 보안 정책 수립

11. 모범 사례

1) 모든 가상 스위치에 적용

  • 표준 스위치(Standard Switch)
  • 분산 스위치(Distributed Switch)
  • 모든 포트그룹

2) 포트그룹 레벨 설정

  • 스위치 레벨: 기본 정책 (거부)
  • 포트그룹 레벨: 예외 허용

3) 정기적 점검

  • 월 1회 이상 전체 스위치 점검
  • 신규 스위치 생성 시 즉시 설정

12. 모니터링

MAC 주소 변경 로그 확인:

1
2
3
4
5
6

# ESXi 호스트 로그
grep "MAC" /var/log/vmkernel.log
grep "spoof" /var/log/vmkernel.log

# vCenter 로그
grep "MAC address" /var/log/vmware/vpxd.log

MAC 주소 중복 탐지:

1
2

# 동일 MAC 주소 사용 VM 확인
Get-VM | Get-NetworkAdapter | Select-Object Parent, MacAddress | Group-Object MacAddress | Where-Object {$_.Count -gt 1}

13. 주의사항

  • MAC 주소 변경 거부가 네트워크 기능에 영향 없음
  • NLB 등 특수한 경우 예외 허용 필요
  • 변경 후 네트워크 연결 테스트 필수
  • HV-23, HV-24와 함께 적용 권장

요약

모든 가상 스위치(표준, 분산)의 MAC 주소 변경 정책을 거부로 설정해야 합니다. 이는 MAC 주소 스푸핑 공격을 차단하여 네트워크 보안을 강화하는 핵심 설정입니다. HV-23 무차별 모드 비활성화HV-24 위조 전송 비활성화와 함께 적용하면 가상 네트워크의 대부분의 스푸핑 공격을 차단할 수 있습니다. NLB와 같은 특수한 경우에만 포트그룹 레벨에서 예외를 허용하세요.

© 2025 - 2026 코딩이 싫은 거북이
Hugo로 만듦
JimmyStack 테마 사용 중