반도체 전문 온라인 매거진 - 올포칩

글로벌 사이버 보안 리더 카스퍼스키(Kaspersky)는 리눅스 커널에서 발견된 고위험 취약점인 ‘Copy Fail(CVE-2026-31431)’에 대한 심층 보고서를 발표하고, 기존 보안 체계의 허점을 노린 구조적 위협에 대해 강력히 경고했다. 이번 취약점은 단 10줄 내외의 파이썬(Python) 코드로도 악용이 가능할 만큼 난이도가 낮으나, 시스템 파일 자체를 수정하지 않고 실행 결과만 변조하는 교묘한 방식을 취하고 있어 탐지가 매우 까다로운 것으로 나타났다.

문제의 근원은 2017년 리눅스 커널에 추가된 암호화 모듈인 `algif_aead`의 버퍼 처리 오류에서 비롯되었다. 이 오류는 2017년부터 2026년까지 출시된 우분투(Ubuntu), 레드햇(RHEL) 등 대다수 리눅스 배포판에 영향을 미친다. 공격자는 로컬 사용자 권한으로 암호화 알고리즘 동작 과정에 개입하여, 시스템 내 읽기 가능한 파일의 페이지 캐시에 임의의 4바이트 값을 주입할 수 있다. 특히 관리자 권한이 설정된 SUID 파일의 메모리 캐시를 변조하면, 디스크 상의 원본 파일은 그대로 둔 채 메모리에서 실행되는 코드만 조작하여 루트(root) 권한을 획득하게 된다.

공격의 파급력은 특히 컨테이너 환경에서 두드러진다. 도커(Docker)나 쿠버네티스(Kubernetes) 환경의 컨테이너 내부 프로세스가 호스트 커널의 암호화 서브시스템에 접근할 수 있다면, 컨테이너 경계를 넘어 물리 호스트 시스템 전체를 장악할 수 있는 위험이 있다. 모든 공격 동작이 정상적인 시스템 호출로 구성되어 있어 기존 엔드포인트 보안 솔루션(EPP)으로는 탐지가 사실상 불가능하다는 점이 가장 큰 위협 요인으로 지목되었다.

현재 리눅스 커널 안정 버전에 패치가 반영되었으나, 운영 환경의 특성상 즉각적인 커널 업데이트와 시스템 재시작이 어려운 경우가 많다. 카스퍼스키는 임시 대응 방안으로 `algif_aead` 모듈 로딩을 비활성화할 것을 권고하는 한편, 파일 기반 탐지가 아닌 행위 기반 탐지 중심의 전략을 제시했다. 파이썬 프로세스가 셸을 통해 권한 상승 명령(su, sudo 등)을 호출하는 패턴을 모니터링하거나, SIEM 환경에서 비루트 사용자의 비정상적인 시스템 호출 기록을 추적하는 방식이 효과적이다.

카스퍼스키코리아 이효은 지사장은 “Copy Fail 취약점은 파일 무결성 검사를 우회하여 시스템이 정상인 것처럼 보이게 하면서 내부 권한을 탈취하는 매우 기만적인 공격”이라며 “근본적인 해결을 위해 커널 업데이트가 필수적이지만, 업데이트가 어려운 환경에서는 EDR과 SIEM을 연계한 행위 중심 탐지 체계를 반드시 구축해야 한다”고 강조했다. 카스퍼스키는 자사 솔루션인 ‘Kaspersky EDR Expert’를 통해 해당 공격 패턴을 식별하는 전용 탐지 룰을 제공하며 기업들의 선제적 대응을 지원하고 있다.