카스퍼스키가 리눅스 커널 취약점 'Copy Fail(CVE-2026-31431)'에 대한 심층 분석 보고서를 발표하고 기존 보안 체계로는 탐지가 어려운 구조적 위협에 대해 경고했다.
Copy Fail은 약 10줄 수준의 Python 코드로도 악용 가능한 고위험 취약점으로 이후 Go와 Rust 등 다양한 프로그래밍 언어로도 변형되어 공개되고 있다. 이 공격은 정상적인 시스템 호출만을 사용하기 때문에 일반적인 시스템 활동과 구별이 사실상 불가능하다.
문제의 근본 원인은 2017년 리눅스 커널에 추가된 특정 커밋에서 비롯됐다. algif_aead 모듈에서 버퍼 처리 오류가 발생해 2017년부터 2026년까지의 커널 전반에 영향을 미쳤으며 Ubuntu와 RHEL·일부 WSL2 환경을 포함한 다양한 리눅스 시스템이 취약한 상태에 놓이게 됐다. 공격자는 setuid 비트가 설정된 실행 파일의 캐시에 4바이트를 주입해 디스크 상의 파일은 전혀 변경하지 않으면서도 메모리 상에서 실행되는 코드를 변조할 수 있다. 그 결과 해당 프로그램이 실행될 때 루트 권한으로 악성 행위를 수행하게 되며 기존 파일 무결성 검사 체계로는 이를 탐지할 수 없다.
컨테이너 환경에서의 위험성도 크다. Docker와 LXC·Kubernetes 환경에서는 컨테이너 내부 프로세스가 AF_ALG 서브시스템에 접근할 수 있으며 호스트 커널에 algif_aead 모듈이 로드된 경우 컨테이너 경계를 넘어 물리 호스트 시스템까지 장악할 수 있다.
해당 취약점에 대한 수정 패치는 리눅스 커널 안정 버전에 반영됐으나 서비스 중단이 어려운 운영 환경에서는 즉각적인 커널 업데이트 적용이 쉽지 않다. 이 경우 algif_aead 모듈 로딩을 비활성화하는 임시 대응이 권장된다. 카스퍼스키는 행위 기반 탐지 중심의 대응 전략을 제시했다. Kaspersky EDR Expert는 Python 프로세스에서 비루트 셸이 실행되고 해당 셸이 권한 상승 명령을 시도하는 시나리오를 기반으로 공격을 탐지한다.
이효은 카스퍼스키코리아 지사장은 "Copy Fail 취약점은 시스템이 정상적으로 보이는 상태에서도 내부적으로는 이미 권한이 탈취된 상태가 될 수 있는 매우 교묘한 공격"이라며 "근본적인 해결책은 커널 업데이트이지만 현실적인 제약을 고려할 때 EDR과 SIEM 기반의 행위 중심 탐지 체계를 반드시 병행해야 한다"고 강조했다.
헬로티 구서경 기자 |
