7년. 리눅스 커널에 숨겨져 있던 이 치명적인 취약점이 아무런 제약 없이 루트 권한을 쥐여주는 시한폭탄이었다는 사실을 아십니까? 바로 ‘Copy Fail’, 공식 명칭 CVE-2026-31431입니다. 보안 전문가들은 이 결함이 2017년 이후 출시된 거의 모든 주요 리눅스 배포판을 위협할 수 있다고 경고합니다.
더 심각한 것은, 이미 공개된 익스플로잇이 존재하며 매우 안정적으로 작동한다는 보고입니다. 이건 단순한 이론적 위협이 아니라, 피부로 와닿는 현실적인 위험입니다. 이것이야말로 머리카락을 쥐어뜯고 싶게 만드는 취약점이 아닐 수 없습니다. 특히 그 영향 범위가 얼마나 넓은지를 생각하면 말이죠.
10년을 기다린 논리 폭탄
그렇다면 ‘Copy Fail’은 대체 무엇일까요?
이것은 리눅스 커널의 암호화 서브시스템 깊숙한 곳에 자리 잡은 로컬 권한 상승 취약점입니다. 잠깐 생각해 봅시다. 우리가 흔히 보는 버퍼 오버플로우나 메모리 쓰기 오류와는 차원이 다릅니다. 이건 논리적인 버그, 커널이 메모리 캐시에 있는 파일 데이터를 처리하는 방식에서 발생한 미묘한 실수입니다.
핵심은 이겁니다. 로컬 사용자가 메모리 내 파일의 캐시 복사본을 조작할 수 있다는 것이죠. 중요한 점은? 이 변경 사항은 커널의 페이지 캐시에만 존재한다는 것입니다. 디스크에 있는 실제 파일은 아무런 변화가 없습니다. 그렇다면 일반적인 디스크 포렌식 도구는 이를 놓칠 수밖에 없습니다. 시스템을 재부팅하거나 메모리 압력이 높아지면 오염된 캐시는 사라지고 깨끗한 파일이 다시 로드됩니다. 마치 아무도 보지 않을 때만 현실을 바꾸는 기계 속의 유령 같습니다.
“모두 리눅스 커널의 메모리 손상 버그에 집중하지만, 논리적인 버그도 간과해서는 안 됩니다.”
연구원 5unkn0wn의 말입니다. 가장 교활한 위협이 항상 가장 시끄럽거나 코드 실행 측면에서 가장 복잡한 것은 아니라는 사실을 다시 한번 상기시켜 줍니다. 때로는 상태에 대한 단순한 오해가 가장 큰 위협이 될 수 있습니다.
더러운 가족 상봉
당연하게도, 이미 ‘Copy Fail’과 비슷한 취약점들이 거론되고 있습니다. Dirty Cow (CVE-2016-5195)와 Dirty Pipe (CVE-2022-0847)와 같은 거물급 취약점들이죠. 이들은 모두 헤드라인을 장식했고, CISA의 ‘알려진 악용 취약점 목록’에 올랐으며, 커널 무결성에 대한 신뢰를 근본적으로 흔들었습니다.
하지만 ‘Copy Fail’이 차별화되는 지점이 있는 것 같습니다. Dirty Cow처럼 여러 번의 시도가 필요한 까다로운 경쟁 조건(race condition)이나, Dirty Pipe처럼 파일 내 수정 가능한 위치에 제약이 있었던 것과는 달리, ‘Copy Fail’은 보고된 바에 따르면 그냥 작동합니다. 특별한 타이밍도, 까다로운 제약 조건도 없습니다. 그냥 실행하면 루트 권한을 얻습니다.
실제로 누가 취약한가?
커널 버전 4.14 이상을 실행하는 리눅스 시스템을 사용 중이라면, 여러분도 위험 범위 안에 있을 가능성이 높습니다. 해당 커널 버전은 2017년으로 거슬러 올라갑니다. 네, 맞게 읽으신 겁니다. 7년 치 코드에 이 결함이 조용히 자리 잡고 있었던 거죠. 원 연구팀인 Tenable의 RSO는 이 결함이 Theori의 AI 기반 보안 스캐닝 도구인 Xint Code를 사용하여 발견되었다고 밝혔습니다. 이는 취약점 발견 환경이 점점 진화하고 있음을 보여줍니다.
이 위험은 공유 환경에서 극적으로 증가합니다. 멀티 테넌트 클라우드 시스템, 컨테이너 클러스터, 신뢰할 수 없는 코드를 실행하는 CI/CD 파이프라인을 생각해 보세요. 이 익스플로잇은 커널의 공유 파일 캐시를 노리기 때문에 컨테이너 경계를 넘어설 수도 있습니다. 단일 사용자 워크스테이션에서는 위험이 낮습니다. 어차피 이미 로컬 접근 권한이 필요하니까요. 하지만 공유 컴퓨팅 환경이나 신뢰할 수 없는 사용자 입력이 있는 모든 환경에서는 이는 5단계 비상사태입니다.
패치: 불편한 현실
이 글을 쓰는 시점에서 패치 상태는, 음, 엇갈린다고 말해야 할 것 같습니다. Arch Linux는 이미 패치했습니다. Ubuntu, SUSE, Red Hat은 진행 중입니다. Debian과 Amazon Linux는요? 여전히 취약합니다. 이것은 커널 개발자만의 문제가 아니라, 전체 생태계가 수정 사항에 대응하고, 테스트하고, 배포하는 능력에 대한 문제입니다.
그리고 공개된 익스플로잇도 있습니다. 짧은 Python 스크립트가 쉽게 구할 수 있으며, 메모리 내 특권 이진 파일을 정확히 노립니다. 특별한 권한이나 복잡한 설정 없이도 취약점의 힘을 보여주는 무섭도록 우아한 시연입니다. 그냥 실행하면 루트 접근 권한이 여러분의 것이 됩니다.
즉각적인 위협을 넘어서
더 흥미로운 점은 Theori의 힌트입니다. ‘Copy Fail’은 단독 범행이 아니라는 것입니다. 동일한 연구 노력으로 최소한 하나의 추가적인 권한 상승 문제 등 다른 커널 결함도 발견되었습니다. 이는 잠재적으로 더 깊은 아키텍처 문제나 특정 커널 서브시스템에서의 일관된 간과를 시사합니다. 이러한 다른 발견 사항이 공개됨에 따라 우리는 면밀히 지켜볼 것입니다.
지금으로서는 간단하지만 daunting한 조언뿐입니다. 시스템을 패치하세요. 커널 버전을 확인하세요. 그리고 패치되지 않은 오래된 시스템에서 중요한 인프라를 실행하는 분들이라면? 다운타임 계획을 시작하십시오. 공개된 익스플로잇과 7년이라는 선행 시간을 고려할 때, 무시해도 되는 종류의 버그가 아닙니다.
다른 리눅스 배포판은 어떤가요?
제공된 표에는 주요 배포판이 나열되어 있지만, 이 취약점은 커널 4.14 이상을 사용하는 모든 리눅스 배포판에 영향을 미칩니다. 이는 방대한 수의 구성 및 엔터프라이즈 배포판을 포괄합니다. 각 배포판 공급업체의 패치 상태 및 일정에 대해 확인하는 것이 매우 중요합니다.
이 익스플로잇이 제 시스템을 망가뜨릴까요?
익스플로잇은 루트 액세스 권한을 부여하지만, 안정적인 작동은 기반 커널 취약점에 달려 있습니다. 배포판 공급업체에서 제공하는 공식 커널 패치를 적용하면 취약점이 무력화되고 익스플로잇이 성공하지 못하게 막아 시스템 안정성을 보장합니다.
최근에 들었던 랜섬웨어 공격과 유사한가요?
‘Copy Fail’과 같은 권한 상승 취약점은 랜섬웨어 공격자들이 시스템에 대한 더 깊은 접근 권한과 통제력을 얻기 위해 자주 악용하지만, 이 특정 CVE는 패치해야 하는 기술적인 취약점입니다. 그 영향은 광범위하며, 미래 공격의 벡터가 될 수 있지만, 그 자체로는 랜섬웨어가 아닙니다.
