커뮤니티 자유 소프트웨어 및 리눅스 시스템 관리자 리눅스는 현재 단순한 업데이트 문제를 훨씬 뛰어넘는 심각한 문제에 직면해 있습니다. CVE-2026-31431로 등록된 '복사 실패(Copy Fail)' 취약점은 수년간 발견되지 않았던 리눅스 커널의 취약점을 드러냈으며, 권한이 없는 로컬 사용자도 시스템에 대한 완전한 제어권을 획득할 수 있도록 허용합니다.
그 영향은 실험실의 범위를 훨씬 넘어섭니다. 유럽 데이터 센터의 서버, 쿠버네티스 클러스터CI/CD 플랫폼과 타사 코드를 실행하는 클라우드 서비스가 주목받고 있습니다. 이 취약점은 인터넷을 통해 직접 백도어를 열지는 않지만, 사소한 로컬 침입을 통해 추적하기 매우 어려운 루트 권한 상승을 가능하게 합니다.
복사 실패(CVE-2026-31431)란 무엇이며, 왜 그렇게 큰 문제인가요?
복사 실패는 로컬 권한 상승 취약점(LPE) 리눅스 커널에 존재하는 취약점입니다. 실제로 이 취약점을 이용하면 일반 계정 사용자, 컨테이너 내부의 프로세스 또는 관리자 권한이 없는 CI 작업이 취약한 시스템에서 루트 권한으로 코드를 실행할 수 있게 됩니다.
해당 문제는 CVE-2026-31431로 추적되고 있으며, 다음과 같은 영향을 미칩니다. 커널 암호화 하위 시스템구체적으로, 공격자는 AF_ALG 인터페이스와 algif_aead 모듈을 암호화 템플릿 인증과 함께 악용합니다. 이러한 조합을 통해 공격자는 궁극적으로 시스템의 페이지 캐시에 4바이트의 제어된 데이터를 기록할 수 있습니다.
놀라운 점은 이 익스플로잇이 얼마나 간결한가 하는 것입니다. Xint Code와 Theori를 포함한 여러 연구자들이 이 익스플로잇의 개념 증명을 발표했습니다. 파이썬에서 몇백 바이트 특수한 경쟁 조건이나 복잡한 구성 없이도 일반적인 환경에서 안정적으로 작동합니다.
유럽에서는 리눅스는 은행, 통신 사업자, 정부 기관 등에서 널리 사용되고 있습니다. 클라우드 서비스 제공업체 입장에서는 이처럼 작고 안정적인 취약점이 여러 배포판에 효과가 있다는 사실이 위험을 심각한 수준으로 끌어올렸으므로 신속한 대응이 필요합니다.
실패 원인: 2017년에 실시된 최적화 작업이 막대한 비용을 초래했다.
Copy Fail의 기술적 핵심은 2017년에 리눅스 커널에 도입된 변경 사항에 있습니다. algif_aead 암호화 모듈의 성능을 향상시킵니다."제자리" 작업을 수행하고 불필요한 메모리 복사를 방지하도록 설계된 이 최적화는 의도치 않게 페이지 캐시를 손상시키는 경로를 열었습니다.
해당 코드는 템플릿에 의존합니다. 인증(HMAC-SHA256 + AES-CBC)암호화 또는 복호화 결과를 기록하기 위해 출력 공간만 사용하는 대신, 해당 알고리즘은 버퍼의 일부를 임시 작업 영역으로 사용합니다. 문제는 이러한 작업 중에 4바이트가 의도된 경계를 벗어나 기록될 때 발생합니다.
시스템 호출과 함께 접착()이는 커널 캐시 페이지를 사용자 공간 파일 디스크립터에 직접 연결하기 때문에, 범위를 벗어난 쓰기는 시스템 파일을 포함하는 캐시 페이지에 영향을 미칩니다. 공격자가 해당 페이지를 `/usr/bin/su`와 같이 `setuid` 비트가 있는 바이너리에 대응하도록 만들 수 있다면, 리눅스에서 sudo루트 권한으로 실행될 코드를 조작할 수 있는 가능성이 열려 있습니다.
해당 취약점을 해결하는 공식 패치는 문제가 있는 최적화를 되돌려 소스 및 대상 메모리 영역을 다시 분리합니다. 안정적인 커널 브랜치에서 이 변경 사항은 다음과 같은 커밋과 관련이 있습니다. a664bf3d603d이러한 기능들은 이미 장기 유지 관리 버전에 통합되고 있습니다.
이 취약점이 작동하는 방식에 대한 다섯 가지 핵심 정보
Xint/Theori 및 기타 보안 회사에서 발표한 분석에 따르면 공격 메커니즘은 비교적 간단합니다. 간단히 말해, 이 과정은 일반적으로 다음과 같은 단계를 거치며, 이를 악용합니다. 기본적으로 활성화된 커널 인터페이스 대부분의 배포판에서:
- 공격자가 문을 엽니다 소켓 AF_ALG 그리고 커널의 암호화 하위 시스템에서 취약한 AEAD 모드를 선택합니다.
- 통해 접착()읽기 가능한 파일(예: /usr/bin/su)의 캐시에서 페이지를 가져와 커널이 암호화 작업에 사용할 대상 버퍼에 연결합니다.
- 인증 알고리즘은 데이터를 처리하지만, 논리적 오류로 인해 다음과 같이 기록합니다. 범위를 벗어난 바이트 4개 계획된 출력 버퍼의 일부입니다.
- 해당 4바이트는 setuid가 설정된 바이너리 코드가 포함된 캐시 페이지에 저장되며, 공격자는 작업 매개변수와 AAD를 통해 해당 내용을 제어할 수 있습니다.
- 이 과정을 여러 번 반복하면, 키 지침을 수정하세요 메모리에 있는 바이너리 파일에서 또는 셸코드의 작은 부분을 삽입하여 프로그램을 실행합니다. 프로그램이 실행되면 루트 권한을 가진 셸을 얻게 됩니다.
공격자에게 가장 큰 이점은 이 모든 일이 한 곳에서 일어난다는 점입니다. 커널 페이지 캐시디스크에 있는 파일은 변경되지 않았으므로 해시, 서명 또는 파일 무결성 도구를 기반으로 하는 일반적인 검사에서는 모든 것이 정상인 것으로 나타납니다.
해당 페이지가 "변경됨"으로 표시되지 않았기 때문에 커널은 변경 사항을 디스크에 기록할 이유가 없습니다. 시스템이 재부팅되거나 메모리 부족으로 캐시가 무효화되면 수정 사항이 흔적도 없이 사라져 후속 포렌식 분석을 매우 어렵게 만듭니다.
어떤 리눅스 시스템이 영향을 받으며, 위험 수준은 어느 정도입니까?
모든 분석 결과는 그 범위가 광범위하다는 데 동의합니다. 취약성은 다음과 같은 영향을 미칩니다. 2017년 최적화가 포함된 커널 또한 AF_ALG 및 algif_aead에 대한 지원을 유지합니다. 실제로 이는 각 배포판에 해당 패치가 통합될 때까지 대부분의 커널 버전 4.14 이상에 적용됩니다.
영향을 받는 플랫폼은 명시적으로 언급되어 있습니다. 우분투, 데비안, 레드햇 엔터프라이즈 리눅스(RHEL), SUSE, 아마존 리눅스 또한 AF_ALG를 활성화하는 일부 WSL2 빌드에서도 이 취약점이 발견되었습니다. 여러 연구원들이 대표적인 실제 운영 환경에서 이 취약점을 성공적으로 테스트하여 실제 사용 가능성을 확인했습니다.
유럽의 경우, 이는 다음과 같은 직접적인 영향을 미칩니다. 중요 인프라 및 공공 서비스 리눅스가 사실상의 표준으로 자리 잡은 곳: 정부 기관과 대학부터 은행, 통신 사업자, 공유 서버 또는 다중 사용자 VPS를 제공하는 대형 호스팅 업체에 이르기까지.
심각도 분류 범위는 대략 다음과 같은 값입니다. CVSS 척도에서 높은 위험도(약 7,8/10)원격으로 악용할 수 있는 취약점은 아니지만, 단순성, 안정성, 그리고 사용자와 컨테이너 간의 격리를 무너뜨릴 수 있는 능력 때문에 Dirty Pipe나 Dirty COW와 같은 취약점과 같은 범주에 속합니다.
배포판 자체에서도 보안 권고를 발표하고 있습니다. 예를 들어 우분투는 해당 CVE를 다음과 같이 표시합니다. 높은 우선순위 여러 LTS 브랜치에 대한 세부 정보와 어떤 패키지가 아직 "수정 대기 중"인지에 대한 정보가 제공되며, Amazon Linux와 같은 제공업체는 5.4, 5.10, 5.15, 6.12 또는 6.18과 같은 특정 커널 버전이 업데이트 대기 중임을 명시합니다.
서버, 컨테이너 및 클라우드 환경에 미치는 영향
Copy Fail이 최악의 모습을 드러내는 곳은 바로 여기입니다. 다중 테넌트 시나리오즉, 여러 사용자 또는 클라이언트가 동일한 물리적 머신이나 동일한 커널을 공유하는 환경을 말합니다. 예를 들어 공유 서버, 쿠버네티스 클러스터, CI/CD 실행기 또는 클라이언트 코드를 실행하는 클라우드 서비스 등이 있습니다.
예를 들어 유럽의 호스팅 제공업체에서 공유 서버에 일반 사용자 계정을 가진 클라이언트는 자신의 웹 애플리케이션에 있는 사소한 취약점을 악용하여 로컬 코드를 실행한 다음 CopyFail을 사용하여 전체 호스트를 손상시킬 수 있습니다. 그 시점부터 서버에 있는 다른 모든 클라이언트의 데이터와 서비스가 취약해집니다.
상황은 비슷합니다. 지속적 통합 및 지속적 배포(CI/CD) 플랫폼 공유 머신에서 여러 프로젝트의 코드를 컴파일하고 테스트하는 데 사용되는 러너입니다. 러너 내의 겉보기에는 무해해 보이는 작업이 이 취약점을 이용해 루트 권한을 획득하고, 환경에 저장된 나머지 작업 및 자격 증명에 접근할 수 있게 됩니다.
의 경우 쿠버네티스 및 기타 컨테이너 오케스트레이터문제는 노드의 모든 파드가 동일한 호스트 커널 페이지 캐시를 공유한다는 점입니다. 개념 증명을 실행할 수 있는 컨테이너 내부의 사용자는 격리된 환경에서 벗어나 노드를 제어하고, 거기에서 클러스터 전체로 이동할 수 있습니다.
이러한 시나리오는 유럽 데이터 센터, 지역 클라우드 제공업체, 그리고 워크로드에 Kubernetes를 도입한 대기업에서 매우 흔하게 발생합니다. 이들 중 상당수는 CVE-2026-31431 취약점으로 인해 문제가 발생했습니다. 패치 작업, 커피, 그리고 계획된 재부팅으로 가득한 주말 가능한 한 빨리 격차를 줄이기 위해.
Copy Fail과 이전 Linux 커널 취약점 비교
Copy Fail은 다음과 같은 다른 유명한 커널 버그와 비교되곤 합니다. 더러운 소 또는 더러운 파이프그들은 또한 페이지 캐시와 I/O 작업을 조작하여 이론적으로는 읽기만 가능한 파일을 변경하기도 했습니다.
핵심적인 차이점은 공격 대상이 되는 하위 시스템입니다. 이전의 취약점들은 파이프의 쓰기 경로나 파일 복사 메커니즘을 악용했지만, Copy Fail은 다른 방식을 사용합니다. 커널의 암호화 경로AF_ALG 및 AEAD 연산을 통해 캐시에 4바이트 쓰기 프리미티브를 얻습니다.
공격자의 관점에서 볼 때, 이는 여러 가지 이점을 제공합니다. 필요한 코드의 양이 크게 줄어들고, 복잡한 인종에 의존하지 않습니다. 또한 이러한 API는 많은 합법적인 애플리케이션이 암호화 및 인증을 위해 의존하기 때문에 일반적으로 기본적으로 활성화되어 있습니다.
그 결과, 다양한 아키텍처와 커널 버전에서 비교적 일관되게 작동하는, 더욱 조용하고 이식성이 뛰어난 익스플로잇이 탄생했습니다. 따라서 다른 버그들처럼 무제한적인 임의 쓰기를 허용하지는 않지만, 안정성과 은밀성을 겸비하여 광범위한 공격 체인 내에서 매우 매력적인 도구로 활용될 수 있습니다.
보안팀에게 있어 이는 이미 형성되고 있던 생각을 더욱 확고히 해주는 것입니다. 커널 성능 최적화 리눅스처럼 규모가 크고 끊임없이 변화하는 코드 환경에서 철저한 보안 감사를 거치지 않으면 심각한 취약점이 발생할 수 있습니다.
Copy Fail 발견에 있어 인공지능의 역할
이 사건에서 가장 흥미로운 점 중 하나는 거의 10년 동안 존재했던 버그가 어떻게 발견되었는지입니다. Xint Code와 Theori 같은 팀들은 이러한 발견이 단순히 인간의 인내심 덕분만이 아니라 특정 기법의 활용 덕분이라고 설명했습니다. AI 기반 코드 분석 도구.
이러한 솔루션은 커널 코드를 광범위하게 스캔하여 의심스러운 패턴, 잠재적으로 위험한 메모리 접근, 학습된 위험 모델과 일치하는 함수 조합을 찾습니다. 최적화, 템플릿, 매크로가 복잡하게 얽혀 있는 암호화와 같은 복잡한 하위 시스템에서는 사람의 눈으로 미묘한 상호 작용을 놓치기 쉽습니다.
반면 AI는 면밀한 검토가 필요한 코드 부분을 강조하는 데 도움을 줍니다. Copy Fail의 경우, 이러한 접근 방식을 통해 인증 과정에서 논리적 오류를 감지합니다. 그리고 2017년 최적화 및 splice() 함수 사용과의 관계는 이전 검토에서 간과되었던 부분입니다.
많은 유럽 조직에게 있어 이 메시지는 두 가지를 전달합니다. 첫째, 아무리 철저하게 감사를 거친 소프트웨어라도 수년간 심각한 취약점을 숨길 수 있다는 것이고, 둘째, 첨단 AI 기반 분석 도구의 사용이 점점 더 중요해지고 있다는 것입니다. 거의 필수적인 요건 핵심 기반 시설의 보안을 강화하기 위해.
완화 조치 및 임시방편이 마련되어 있습니다.
근본적인 해결책은 기존의 접근 방식을 그대로 따르되, 좀 더 시급하게 추진하는 것입니다. 리눅스 커널을 업데이트하세요 CVE-2026-31431에 대한 패치가 포함된 버전으로 업데이트하십시오. 커널 관리자는 6.18.22, 6.19.12 등의 브랜치에서 해당 취약점을 수정했습니다. 커널 7.0또한 장기 지원 버전으로의 백포트 작업이 진행 중입니다.
유럽에서 가장 널리 사용되는 리눅스 배포판(Ubuntu, Debian, SUSE, RHEL, Amazon Linux 및 파생 배포판)들이 자체 패치된 커널을 출시하고 있습니다. 많은 경우, 변경 사항은 특정 커밋과 관련이 있습니다. a664bf3d603d 또는 algif_aead에서 버퍼 처리를 수정하고 문제가 있는 제자리 최적화를 되돌리는 동등한 기능.
즉시 재시작이 불가능한 경우, 공격 표면을 줄이기 위해 몇 가지 임시 조치를 권장합니다. 가장 직접적인 조치 중 하나는 다음과 같습니다. algif_aead 모듈을 비활성화합니다. modprobe 규칙을 사용하여 시작 시 로드되지 않도록 하고 이미 활성화된 경우 언로드합니다.
위험도가 높은 환경의 경우, 일부 전문가들은 한 단계 더 나아가야 한다고 제안합니다. AF_ALG 인터페이스를 차단합니다 seccomp, AppArmor 또는 SELinux와 같은 보안 정책을 통해 차단할 수 있습니다. 이 방법은 AF_ALG를 암호화 작업에 사용하는 정상적인 애플리케이션에도 영향을 미칠 수 있으므로, 프로덕션 환경에 적용하기 전에 각 환경에서 철저히 테스트해야 합니다.
악용 시도 탐지 및 모니터링
패치 적용이 최우선 과제이지만, 많은 조직에서는 Copy Fail 취약점이 자사 시스템에서 악용되었는지 여부를 확인하거나, 최소한 조기 경고 메커니즘을 구축하기를 원합니다. 여러 보안 솔루션 공급업체들이 관련 정보를 공개했습니다. 특정 모니터링 규칙 및 EDR 이 경우에는 그렇습니다.
일반적인 접근 방식은 읽기 접근을 모니터링하는 것입니다. setuid가 있는 바이너리 (su, sudo, passwd, gpasswd, mount, umount, fusermount3 등과 같은 명령어가 Python과 같은 인터프리터에서 나오거나 일반적이지 않은 경로에서 나오는 경우, 그리고 권한이 없는 사용자가 splice()를 즉시 호출하는 시퀀스에서) 오류가 발생합니다.
생성 과정을 모니터링하는 것도 권장됩니다. AF_ALG 소켓 (십진수로 패밀리 26) 일반 사용자 UID에서 이러한 이벤트를 유사한 sh -co 명령을 사용하여 실행된 권한 있는 바이너리의 실행과 연관시킵니다. 이 패턴은 원래 개념 증명에서 수행한 작업과 잘 일치합니다.
SIEM 환경에서 이러한 규칙은 의심스러운 동작 패턴이 나타날 때 경고를 발생시키는 auditd 표준 및 상관 관계로 변환될 수 있습니다. 고급 EDR 공급업체는 Python, Go 또는 Rust로 작성된 익스플로잇을 탐지하기 위해 possible_copy_fail_cve_2026_31431 또는 이와 유사한 이름의 시그니처를 추가했습니다.
이 모니터링 기능은 패치를 대체하는 것은 아니지만 도움이 됩니다. 비정상적인 활동을 식별합니다 사건이 확대되기 전에 대응하는 것은 특히 유럽 연합 내 금융 기관, 공공 기관 및 중요 서비스 제공업체에 매우 중요합니다.
기업과 관리자를 위한 실질적인 권장 사항
인프라에 리눅스를 많이 사용하는 조직의 경우, Copy Fail 사태는 즉각적인 조치와 함께 보안 전략의 근본적인 조정을 요구합니다. 단기적으로 가장 합리적인 조치는 다음과 같습니다.
- 모든 Linux 시스템의 목록을 작성하세요. 실제 운영 환경에서는 uname -r과 같은 도구를 사용하여 커널 버전을 확인하십시오.
- 체크인하세요 각 배포판별 안전 공지 (Ubuntu, Debian, RHEL, SUSE, Amazon Linux 등) 사용 중인 버전이 CVE-2026-31431의 영향을 받는 경우.
- 가능한 한 빨리 신청하세요 커널 업데이트 제공업체에서 게시한 내용에 따라 여러 사용자 또는 신뢰할 수 없는 코드에 노출된 서버를 우선 순위로 지정합니다.
- 즉각적인 업데이트가 불가능한 시스템에서는, algif_aead를 비활성화합니다 modprobe를 사용하고, 가능하다면 seccomp/AppArmor/SELinux를 사용하여 AF_ALG를 제한하십시오.
- 컨테이너 및 컨테이너 관련 정책을 검토하고 강화합니다. Kubernetes 환경 엄밀히 필요하지 않은 커널 인터페이스에 대한 접근을 제한합니다.
중기적으로는 시스템에 setuid 비트가 있는 바이너리 파일이 몇 개나 있는지, 그리고 그 파일들이 모두 정말 필수적인지 검토해 보는 것이 좋습니다. 이를 통해 다중 사용자 서버의 취약점을 줄이고 통합을 개선할 수 있습니다. 자동 분석 및 AI 도구 내부 개발 및 테스트 프로세스에서.
Copy Fail의 등장은 리눅스 커널처럼 오랜 기간 동안 확립되고 철저한 검토를 거친 프로젝트조차도 수년 동안 심각한 취약점을 품고 있을 수 있다는 사실을 다시 한번 상기시켜 주었습니다. 유럽 기업, 정부 기관 및 클라우드 서비스 제공업체에게 있어 신속한 패치, 잘 설계된 완화 조치, 그리고 더욱 정교해진 모니터링을 결합하는 것이 현재로서는 결함을 통제하는 최선의 방법입니다. 이러한 결함은 단 몇 백 바이트의 코드만으로도 로컬 사용자가 시스템에 대한 절대적인 권한을 획득할 수 있게 만들 수 있습니다.
