카스퍼스키가 리눅스 커널 취약점 ‘Copy Fail(CVE-2026-31431)’에 대한 심층 분석 보고서를 발표했다. 정상 파일을 유지한 채 메모리 상 실행 결과만 변조해 루트 권한 탈취가 가능한 구조로, 기존 파일 무결성 검사와 일반적인 EPP로는 탐지가 어렵다는 점이 핵심이다.
Kaspersky has released an in-depth report on the Linux kernel vulnerability “Copy Fail” (CVE-2026-31431). The flaw allows attackers to gain root privileges by altering execution results in memory without modifying files on disk, making detection difficult for traditional integrity checks and conventional endpoint protection.
카스퍼스키가 리눅스 커널 취약점 Copy Fail에 대한 심층 분석 보고서를 발표하고, 기존 보안 체계로는 탐지가 어려운 구조적 위협에 대해 경고했다.
Copy Fail은 비교적 단순한 코드로도 악용 가능한 고위험 취약점으로 분류된다. 카스퍼스키에 따르면 공개된 익스플로잇은 약 10줄 수준의 Python 코드로 구현됐으며, 이후 Go와 Rust 등 다른 언어로도 변형돼 유포되고 있다. 공격 과정에서 정상적인 시스템 호출만 사용하기 때문에 일반적인 시스템 활동과 구분하기 어렵다는 점이 특징이다.
문제의 근본 원인은 2017년 리눅스 커널에 추가된 특정 커밋에서 비롯된 것으로 분석됐다. algif_aead 모듈에서 AEAD 암호화의 in-place 연산을 지원하는 과정에서 버퍼 처리 오류가 발생했고, 그 결과 2017년부터 2026년까지의 커널 전반에 영향을 주게 됐다는 설명이다. 이에 따라 Ubuntu와 RHEL, 일부 WSL2 환경을 포함한 다양한 최신·레거시 리눅스 시스템이 영향을 받을 수 있다.
취약점의 핵심은 리눅스 커널 암호화 서브시스템 내 authencesn 알고리즘 처리 과정에서 발생하는 로직 오류다. 이로 인해 로컬 사용자가 root 권한을 획득할 수 있고, 내부적으로 할당된 메모리 일부를 임시 버퍼로 쓰는 과정에서 파일의 페이지 캐시에 직접 4바이트를 기록할 수 있게 된다. 공격자는 이 지점에 임의의 값을 주입해 시스템 내 읽기 가능한 파일의 메모리 캐시 내용을 변조할 수 있다.
공격자는 최소 732바이트 규모의 Python 스크립트를 이용해 AF_ALG 인터페이스와 splice() 시스템 호출을 조합함으로써 이러한 동작을 수행할 수 있다. 특히 setuid 비트가 설정된 실행 파일의 캐시에 4바이트를 주입하면 디스크 상 파일은 바뀌지 않지만, 메모리에서 실행되는 코드가 변조된다. 그 결과 해당 프로그램이 실행될 때 루트 권한으로 악성 행위를 수행하게 되며, 기존 파일 무결성 검사 체계로는 이를 식별할 수 없다고 카스퍼스키는 설명했다.
이 취약점은 원격 단독 악용보다는 시스템 내부 접근 권한이 확보된 상태에서 더 현실적인 위협이 된다. 원격 코드 실행 이후 공격 체인의 일부로 활용되거나, 내부자 위협 시나리오에서도 충분히 악용될 수 있다는 지적이다.
컨테이너 환경에서의 위험성도 크다. Docker와 LXC, Kubernetes 환경에서는 기본적으로 컨테이너 내부 프로세스가 AF_ALG 서브시스템에 접근할 수 있으며, 호스트 커널에 algif_aead 모듈이 로드돼 있는 경우 컨테이너 경계를 넘어 물리 호스트까지 장악할 수 있다. 레이스 조건이나 메모리 주소 추측 같은 복잡한 기법 없이도 공격이 가능해 진입 장벽이 낮고, 모든 동작이 정상 시스템 호출로 이뤄져 탐지도 어렵다.
카스퍼스키는 수정 패치가 이미 리눅스 커널 안정 버전에 반영됐다고 밝혔다. 다만 실제 운영 환경에서는 커널 업데이트에 시스템 재시작이 필요하고, 서비스 중단이 어려운 곳에서는 즉각 대응이 쉽지 않다고 설명했다. 이런 경우 임시 대응 방안으로 algif_aead 모듈 로딩을 비활성화하는 방법을 권고했다.
탐지 측면에서는 기존 EPP만으로 대응이 어렵다고 봤다. 이번 공격은 파일 기반이 아니라 메모리 기반으로 이뤄지고, 정상 시스템 호출만 사용하기 때문이다. 이에 따라 단순 시그니처 방식이 아닌 행위 기반 탐지가 필수라는 입장이다.
카스퍼스키는 Python 기반 초기 익스플로잇의 경우 Python 프로세스가 셸을 실행한 뒤 su, sudo, mount, passwd, gpasswd, chfn, chsh, newgrp, fusermount3 같은 SUID 바이너리를 호출하는 패턴에 주목해야 한다고 설명했다. “Python → Shell → privileged executable” 형태의 프로세스 체인이나 “sh -c -- su”, “sh -c -- passwd” 같은 명령 실행 패턴도 유효한 탐지 지표로 제시했다.
SIEM 환경에서는 auditd 로그를 활용한 분석이 효과적이라고 밝혔다. SUID 비트가 설정된 바이너리에 대한 openat 호출, 직전 SUID 바이너리 접근 이후 발생한 splice 호출, execve에서의 권한 상승 명령 패턴, AF_ALG 소켓 생성 관련 시스템 호출 추적 등이 대표적인 모니터링 대상이다.
카스퍼스키는 이를 보완하기 위해 EDR과 SIEM 기반의 행위 중심 탐지 전략을 제안했다. Kaspersky EDR Expert는 Python 프로세스에서 비루트 셸이 실행되고, 이어 su 같은 권한 상승 명령이 시도되는 흐름을 탐지할 수 있도록 설계돼 있다. 또 Python뿐 아니라 Go, Rust 등 다양한 언어로 작성된 변형 익스플로잇이 등장하는 만큼, 부모와 자식 프로세스 간 권한 불일치나 명시적 setuid, sudo 호출 없이 발생하는 UID 변화 이상 징후도 중요하다고 강조했다.
카스퍼스키코리아 이효은 지사장은 Copy Fail이 시스템이 정상으로 보이는 상태에서도 내부적으로는 이미 권한이 탈취된 상황을 만들 수 있는 매우 교묘한 공격이라며, 파일 변경이 없어 기존 보안 체계로 탐지가 어렵다는 점에서 더욱 위험하다고 밝혔다. 이어 근본 대응은 커널 업데이트지만, 현실적 제약을 고려하면 EDR과 SIEM 기반의 행위 중심 탐지 체계를 병행해야 한다고 강조했다.
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.