최근 리눅스 생태계를 강타한 새로운 취약점 ‘Copy Fail’이 보안 업계의 이목을 집중시키고 있습니다. 2017 년 이후 출시된 거의 모든 주요 리눅스 배포판에 공통적으로 존재했던 이 결함은 CVE-2026-31431 로 명명되었으며, 기존 로컬 권한 상승(LPE) 취약점들이 가진 복잡한 전제 조건들을 모두 생략했다는 점에서 주목받습니다. 대부분의 기존 취약점이 특정 커널 버전의 오프셋 차이나 경쟁 조건을 필요로 했던 것과 달리, 이 결함은 단순한 논리 오류에 기반하여 732 바이트의 파이썬 스크립트 하나로도 모든 배포판에서 root 권한을 획득할 수 있습니다.
이 취약점의 핵심은 커널 암호화 API인 AF_ALG 와 splice() 함수가 결합된 방식에 있습니다. 이 조합은 디스크에 기록된 파일 무결성 검사 도구를 우회하여 페이지 캐시에 4 바이트를 silently 하게 덮어쓰게 만듭니다. 발견자 Xint Code 가 밝힌 바에 따르면, 이 공격은 네트워크 접근이나 디버깅 기능 없이도 비권한 사용자의 로컬 계정만 있으면 실행 가능하며, 2017 년부터 패치가 적용되기 전까지 빌드된 커널이라면 예외 없이 영향을 받습니다. 이는 단일 테넌트 환경뿐만 아니라 공유된 커널 위에서 실행되는 컨테이너, CI/CD 파이프라인의 빌드 서버, 그리고 서버리스 함수 등 다양한 현대적 인프라 환경에서 테넌트 간 경계를 무너뜨릴 수 있음을 의미합니다.
하지만 이 발견이 뜨거운 감자로 떠오른 데에는 기술적 놀라움 이상으로 대응 과정에서의 혼란도 한몫했습니다. 일부 커뮤니티에서는 공개 자료에 언급된 RHEL 14.3 이라는 버전이 현재 존재하지 않는 버전이라는 점에서 발표 과정에 혼선이 있었음을 지적하기도 했습니다. 실제로 레드햇을 비롯한 주요 벤더들은 이 취약점을 ‘중등도(Moderate)’로 분류하고 패치를 미루는 모습을 보여, 기술적 파급력과 실제 대응 속도 사이의 괴리에 대한 논의를 낳았습니다. 특히 데비안, 아치, 페도라 등 다양한 배포판에서 동일한 동작을 보임에도 불구하고, 각 배포판의 패치 정책이 달라 보안 관리자들의 우려를 키우고 있습니다.
앞으로 주목해야 할 점은 이 단순한 논리 결함이 어떻게 실제 운영 환경에서 재해석될지입니다. 단순한 로컬 권한 상승을 넘어, 공유된 페이지 캐시를 통해 호스트 전체를 장악할 수 있는 가능성은 클라우드 네이티브 환경의 보안 설계에 근본적인 질문을 던집니다. 특히 GitHub Actions 나 젠킨스 에이전트처럼 신뢰할 수 없는 코드가 실행되는 환경에서는 이 취약점이 테넌트 간 격리를 무력화할 수 있는 강력한 무기가 될 수 있습니다. 각 배포판이 이 결함에 대한 패치를 어떻게 적용할지, 그리고 ‘algif_aead’ 모듈을 비활성화하는 등의 우회 방안이 실제 운영에 어떤 영향을 미칠지 지켜보는 것이 중요합니다.
작성자 소개
