매체 보도에 따르면, VM웨어 영구 라이선스를 보유하고 있으나 현재 유효한 지원 계약이 없는 고객들이 브로드컴(Broadcom) 지원 포털에서 중요 보안 패치에 접근하지 못하고 있다.

이 같은 접근 제한 조치는 기업 고객에게 즉각적인 보안 리스크를 야기하고 있다. 특히 올해 VM웨어가 발표한 다수의 에는 공격자가 가상 머신에서 탈출해 호스트 시스템에서 코드를 실행할 수 있는 취약점이 포함돼 있어 그 심각성이 크다.

보도에 따르면 영향을 받은 영구 라이선스 보유 고객들은 보안 패치를 다운로드할 수 없다고 밝혔으며, VM웨어 지원 인력은 대체 채널을 통해 보안 수정사항이 제공되기까지 최대 90일이 걸릴 수 있다고 안내한 것으로 알려졌다.

그레이하운드리서치(Greyhound Research)의 수석 애널리스트 겸 CEO인 산치트 비르 고기아는 “브로드컴의 패치 접근 제한은 벤더가 고객에게 어떤 권리를 제공해야 하는지를 다시 생각하게 만드는 결정”이라며 “단순한 패치 정책의 문제가 아니라, 이제 소프트웨어는 한 번 사면 끝나는 것이 아니라 여러 조건이 붙는 시대라는 의미”라고 말했다.

포털 변경으로 인한 접근 차단

VM웨어 대변인은 해당 보도에서 “지원 포털은 소프트웨어 패치 제공을 위해 고객의 자격을 검증하도록 설계돼 있어 현재는 자격이 있는 고객만 패치에 접근할 수 있다”라고 설명하며 접근 제한 사실을 확인했다.

VM웨어는 “자격이 없는 고객을 위한 별도의 패치 제공 일정도 마련될 예정”이라고 언급했다. 하지만 구체적인 시점은 밝히지 않았다.

브로드컴은 이메일 성명에서 “치명적인 VM웨어 보안 패치 제공에 대한 브로드컴의 약속은 변함이 없다. 유지보수 및 지원 자격이 만료된 기존 VM웨어 제품 사용자도 해당 제품이 브로드컴의 지원 대상인 동안에는 보안 패치에 무료로 접근할 수 있다. 여기에는 VM웨어 보안 권고문 2025-0013에서 다룬 주요 취약점 패치도 포함된다”라고 밝혔다.

더레지스터 보도에 따르면 브로드컴 내부 커뮤니케이션에서 지원 인력은 “최근 자격 확인과 관련해 지원 포털에 적용된 변경 사항 때문에 자격이 만료된 고객에게 패치를 제공하는 데 지연이 발생할 수 있다”라고 인정했다.

한편 최근 에서는 ESXi, 워크스테이션(Workstation), 퓨전(Fusion)에 영향을 주는 치명적인 취약점이 발견됐다. 이들 취약점은 가상 머신 내에서 관리자 권한을 가진 공격자가 호스트 시스템에서 코드를 실행할 수 있게 한다.

또한 올해 초 VM웨어는 실제 공격에 악용된 취약점인 CVE-2025-22224와 CVE-2025-22225를 공개했으며, 미국 사이버 보안 및 인프라보안국(CISA)은 이를 ‘악용 확인된 취약점 목록’에 추가했다.

고기아는 “보안 조치 지연이 침해 노출이나 컴플라이언스 위반으로 이어질 수 있는 시대에, 패치 받을 권리는 구독 여부와 분리돼야 한다. 이제 CISO는 패치 접근 권한을 이사회 차원에서 보장해야 할 사안으로 인식해야 한다”라고 말했다.

구독 전환 압박

이번 보안 패치 제한은 브로드컴의 VM웨어 인수 이후 제기된 몇 가지 근본적인 문제들을 단적으로 보여준다. 브로드컴은 기존 를 폐지하고 구독 기반 가격 정책으로 전환했으며, 이에 따라 많은 고객이 상당한 비용 증가를 겪고 있다고 보고했다.

고기아는 “이처럼 변화한 환경에서는 라이선스를 단순한 재무 거래 요소로 볼 것이 아니라, 운영에 직접 영향을 미치는 실시간 의존 요소로 인식해야 한다”라고 분석했다.

카운터포인트리서치(Counterpoint Research) 부사장이자 파트너인 닐 샤는 이번 사태가 인수합병 과정에서 흔히 나타나는 문제를 보여준다고 지적했다. 그는 “인수는 언제나 양날의 검이다. 규모의 이점을 얻는 대신, 목표와 조직 문화, 고객 전략이 맞지 않으면 기존 고객 사이에 혼란과 단절, 불만이 생길 수 있다”라고 말했다.

브로드컴은 약 200여 개에 달하던 VM웨어 제품 포트폴리오를 구독 번들 형태로 통합한 바 있다. 이에 따라 고객은 필요하지 않은 제품까지 포함된 종합 패키지를 강제로 구매해야 하는 상황에 처하게 됐다.

법원 판결이 벤더 책임 범위를 재정의

구독 전환 압박과 지원 접근 제한 조치는 법적 분쟁으로도 이어지고 있다. 최근 은 인프라 및 수자원부(Rijkswaterstaat)가 대체 플랫폼으로 이전하는 최대 2년 동안 VM웨어 지원을 계속 제공하라고 브로드컴에 명령했다.

헤이그 지방법원은 브로드컴이 전환 지원을 제공하지 않은 것이 ‘주의 의무(duty of care)’ 위반에 해당한다고 판결했다. 법원은 해당 기관이 VM웨어를 사용해 중요 인프라를 운영하고 있다는 점을 근거로 들었으며, 명령을 이행하지 않을 경우 하루 25만 유로, 최대 2,500만 유로의 벌금을 부과할 수 있다고 경고했다.

고기아는 “이번 판결은 명확한 메시지를 전달한다. 라이선스 강제 집행으로 인한 운영 중단은 더 이상 내부 문제에 그치지 않고 평판과 재무에 영향을 미치는 법적 사안이 됐다”라고 지적했다.

샤는 이번 판결이 ‘주의 의무’와 ‘전환 지원’의 필요성을 강조했다는 점에서 향후 기업용 소프트웨어 인수합병(M&A) 전반에 중대한 선례를 남겼다고 평가했다.

포레스터 수석 애널리스트 나빈 차브라 역시 유사한 법적 분쟁이 확산되고 있다고 지적했다. 그는 “분명히 보이는 점은, 누가 먼저 시작했든 간에 브로드컴과의 소송에 휘말리는 고객이 계속 늘고 있다는 것”이라며, 네덜란드 판결이 다른 지역에서도 유사한 법적 분쟁을 촉발할 수 있다고 내다봤다.

시장 반응과 재무적 영향

기업 고객은 법적 분쟁을 넘어 브로드컴의 가격 정책과 지원 변경에 대응하기 위한 실질적 조치를 취하고 있다. 독일 텔레포니카(Telefónica)는 브로드컴의 계약 갱신 견적이 예상보다 5배 높게 제시되자 스피니커(Spinnaker)를 통한 서드파티 VM웨어 지원 서비스로 전환했다. AT&T는 지원 계약 변경을 이유로 브로드컴에 소송을 제기했으며, VM웨어에서 단계적으로 이탈할 계획을 밝혔다.

고객 반발에도 불구하고, 브로드컴은 했다고 밝혔다. 브로드컴은 올해 2분기 매출이 150억 달러로 전년 대비 20% 증가했다고 발표하며, 그중 25% 성장한 인프라 소프트웨어 부문을 VM웨어가 견인했다고 설명했다.

다만 샤는 “브로드컴이 보다 책임 있는 접근을 통해 VM웨어 파트너와 고객이 자사 생태계에 원활히 안착하고 비즈니스를 지속할 수 있도록 해야 한다”라고 지적했다.

IT 리더의 전략적 시사점

VM웨어 보안 패치 문제는 기업 IT 부서가 가상화 의존도와 리스크 수용 범위를 재점검하게 만들고 있다. 특히 보안 패치가 최대 90일 지연될 수 있는 상황에서는 조직 차원의 보안 노출 가능성을 면밀히 평가해야 한다.

고기아는 “이제는 영구 라이선스가 업데이트나 지원을 장기적으로 보장해 준다고 가정해서는 안 된다. 대신 벤더 계약에 에스크로 기반 패치 권한과 강제력 있는 서비스 연속성 조항 등 자격 보호 조항을 명시적으로 포함시켜야 한다”라고 조언했다. 에스크로 기반 권한은 벤더가 계약을 이행하지 않거나 서비스가 중단될 경우를 대비해, 서드파티 보관소에 패치 코드나 업데이트 파일을 미리 맡겨두고 고객이 지속적으로 보안 패치를 받을 수 있도록 하는 방식이다.

차브라 역시 구체적인 리스크 통제가 필요하다고 강조했다. 그는 “벤더가 고객에게 얼마나 빠르게 패치를 제공하는지에 대한 가시성이 확보돼야 한다. 제공한다고 해놓고 실제로는 90일 뒤에나 배포된다면, 그 기간 동안 조직은 그대로 취약한 상태에 놓이게 된다”라고 말했다.

샤는 IT 리더가 “인수합병, 파산, SLA(서비스 수준 계약) 위반 등의 상황에 대비해 위험을 평가하고, 핵심 소프트웨어에 대해 연장 지원이나 재협상·보상 권한을 명시하는 등의 계약상 보호 조치를 마련해야 한다”라고 조언했다.

또한 그는 이런 리스크를 완화할 수 있도록 규제 기관과 협력해 보호 장치를 제도화하는 방안도 함께 추진해야 한다고 덧붙였다.
dl-ciokorea@foundryco.com