“기존 보안 체계 우회 가능”...파일 무결성 검사 없이 루트 권한 탈취 가능
카스퍼스키가 리눅스 커널 취약점 ‘Copy Fail(CVE-2026-31431)’에 대한 심층 분석 보고서를 발표하고, 기존 보안 체계로는 탐지가 어려운 구조적 위협 가능성을 경고했다.
카스퍼스키는 이번 취약점이 정상적인 시스템 호출만을 활용해 파일 변경 없이 메모리 상의 실행 결과만 변조할 수 있어, 기존 파일 무결성 검사 기반 보안 체계를 우회할 수 있다고 설명했다. 특히 약 10줄 수준의 Python 코드만으로도 악용이 가능하며, 이후 Go·Rust 등 다양한 언어 기반 변형 익스플로잇도 공개되고 있다고 밝혔다.
보고서에 따르면 해당 취약점은 2017년 리눅스 커널 내 algif_aead 모듈 변경 과정에서 발생한 버퍼 처리 오류에서 비롯됐다. 이로 인해 Ubuntu, RHEL, 일부 WSL2 환경을 포함한 다양한 최신 및 레거시 리눅스 시스템이 영향을 받을 수 있는 것으로 분석됐다고 업체 측은 전했다.
취약점의 핵심은 authencesn 암호화 알고리즘 처리 과정에서 발생하는 메모리 조작이다. 공격자는 AF_ALG 인터페이스와 splice() 시스템 호출을 활용해 페이지 캐시에 직접 4바이트 값을 주입할 수 있으며, 이를 통해 디스크 상 파일 변경 없이 메모리 상 실행 코드만 변조할 수 있다는 설명이다.
카스퍼스키는 특히 setuid 비트가 설정된 실행 파일을 대상으로 공격이 이뤄질 경우, 정상 파일 상태를 유지한 채 루트 권한 탈취가 가능하다고 설명했다. 이 과정에서 기존 엔드포인트 보안(EPP) 솔루션이나 파일 무결성 검사로는 탐지가 사실상 어렵다는 점도 강조했다.
또 컨테이너 환경에서의 위험성도 크다고 지적했다. Docker, LXC, Kubernetes 환경에서는 기본적으로 컨테이너 내부 프로세스가 AF_ALG 서브시스템에 접근할 수 있어, 호스트 커널에 관련 모듈이 로드된 경우 물리 호스트 시스템까지 공격이 확장될 수 있다는 설명이다.
카스퍼스키는 현재 수정 패치가 리눅스 커널 안정 버전에 반영됐지만, 실제 운영 환경에서는 시스템 재시작과 사전 검증이 필요해 즉각적인 대응이 쉽지 않을 수 있다고 분석했다. 이에 따라 algif_aead 모듈 비활성화와 함께 EDR·SIEM 기반 행위 탐지 체계 구축이 필요하다고 권고했다.
특히 Python 프로세스가 셸을 실행한 뒤 su·sudo·passwd 등 SUID 바이너리를 호출하는 패턴이나, “Python → Shell → privileged executable” 형태의 프로세스 체인이 주요 탐지 지표가 될 수 있다고 설명했다. 또한 비루트 사용자의 splice 시스템 호출, AF_ALG 소켓 생성, 비정상적인 UID 변경 행위 등에 대한 모니터링 필요성도 제시했다.
카스퍼스키는 자사 EDR 솔루션을 통해 possible_lpe_by_python, possible_copy_fail_cve_2026_31431 등의 룰 기반 행위 탐지를 지원한다고 밝혔다.
이효은 카스퍼스키코리아 지사장은 “Copy Fail 취약점은 시스템이 정상적으로 보이는 상태에서도 내부적으로는 이미 권한이 탈취된 상태가 될 수 있는 매우 교묘한 공격”이라며, “파일 변경이 없어 기존 보안 체계로 탐지가 어렵다는 점에서 더욱 위험하다”고 말했다. 이어 “근본적인 해결책은 커널 업데이트이지만 현실적인 제약을 고려할 때 EDR과 SIEM 기반의 행위 중심 탐지 체계를 반드시 병행해야 한다”고 강조했다.
<저작권자(c)스마트앤컴퍼니. 무단전재-재배포금지>
