리눅스 제로데이 취약점 'Copy Fail' 공개…"루트 권한 획득까지 가능, 즉각 조치해야"

팩트CVE-2026-31431 Copy Fail은 2017년 이후 9년간 모든 주요 리눅스 배포판에 잠복해 있던 커널 암호화 모듈의 로직 결함입니다. 리눅스 커널 암호화 소켓(AF_ALG)과 데이터 복사 시스템 콜(splice())을 조합해 setuid 바이너리의 페이지 캐시를 4바이트씩 변조하는 방식으로 작동합니다.

주장컴퓨터의 기억장치에는 자주 쓰는 파일을 미리 올려두는 '페이지 캐시'라는 공간이 있습니다. 이 취약점은 암호화 기능을 처리하는 통로(AF_ALG)를 악용해, 원래는 일반 사용자가 건드리면 안 되는 중요한 프로그램(setuid)이 담긴 임시 기억 공간을 몰래 조금씩 수정해 최고 루트 권한을 획득하는 수법입니다.

팩트공격의 핵심 원리는 다음과 같습니다. AF_ALG 소켓을 열어 authencesn 알고리즘에 바인딩한 뒤, splice()로 /usr/bin/su 같은 setuid 바이너리의 페이지 캐시 페이지를 소켓의 TX scatterlist에 주입합니다. 이후 sendmsg()와 splice()를 반복해 페이지 캐시에 4바이트씩 공격 페이로드를 덮어씁니다. 실제 디스크 파일은 변경되지 않으므로, 전통적인 파일 해시 기반 무결성 검사로는 공격 여부를 사후 탐지하기 어렵습니다.

주장디스크 파일 자체를 훼손하는 것이 아니라, 읽으려고 꺼내놓은 페이지 캐시의 글자를 4바이트씩 살짝 바꾸는 방식입니다. 파일 자체는 멀쩡하니 이상을 찾기 힘들지만, 정작 프로그램을 실행하면 변조된 내용대로 동작하게 됩니다.

팩트authencesn.c의 scatterwalk_map_and_copy 함수가 정상 출력 범위 밖의 오프셋(assoclen + cryptlen 위치)에 4바이트를 기록하는 로직 결함을 악용합니다. AF_ALG가 커널 암호화 API를 권한 없는 사용자에게도 개방하기 때문에 유저 모드에서 커널 페이지 캐시에 직접 쓰기가 가능해집니다.

팩트암호화 작업을 마친 뒤 결과물 마지막 부분을 엉뚱한 위치에 적어버리는 프로그래밍 버그가 원인입니다. 이 통로가 누구에게나 열려 있다 보니, 권한이 없는 일반 사용자도 시스템의 핵심 영역에 글자를 써넣을 수 있는 '글쓰기 권한'을 얻게 된 셈입니다.

주장이 취약점이 특히 위험한 이유는 컨테이너 환경에 있습니다. 도커, Kubernetes 등 컨테이너 기술은 네임스페이스로 cgroup, ipc, 네트워크 등을 격리하지만 호스트 커널과 페이지 캐시를 공유합니다. 따라서 하나의 컨테이너에서 이 취약점이 실행되면 동일 호스트의 다른 컨테이너는 물론 호스트 노드 전체가 위험에 노출됩니다. CI/CD 파이프라인의 셀프호스팅 러너, 멀티테넌트 클라우드 환경, Kubernetes 클러스터가 가장 시급한 패치 대상입니다.

주장쉽게 설명하면, 아파트(호스트)의 각 세대(컨테이너)는 벽으로 나뉘어 있지만, 수도관이나 환풍구(페이지 캐시)는 공유합니다. 한 집에서 독극물을 수도관에 흘려보내면 아파트 전체 주민이 위험해지는 것과 같습니다. 클라우드나 서버를 나누어 쓰는 환경에서 위험할 수 있습니다.

교차검증취약점 악용을 위해서는 대상 시스템에 대한 비특권 로컬 사용자 접근이 선행돼야 합니다. 네트워크를 통한 원격 공격은 직접 가능하지 않으며, 접근 제어가 철저한 시스템에서는 위험도가 낮아집니다. 또한 재부팅하면 페이지 캐시가 초기화되어 변조 효과가 사라지므로 공격 지속성 측면에서는 제한이 있습니다.

주장이번 취약점은 AI 보조 취약점 탐지의 가능성을 보여준 사례이기도 합니다. 보안 연구 기관 Xint의 Taeyang Lee가 splice()가 페이지 캐시 페이지를 암호화 서브시스템에 넘기는 구조가 미개척 버그 클래스라는 통찰을 도출했고, Xint Code AI 도구가 약 1시간 만에 커널 crypto/ 서브시스템을 자동 스캔해 취약점을 발견했습니다.

팩트즉각 적용 가능한 조치는 두 가지입니다. 첫째, 커널 패치입니다. 둘째, 임시 완화 조치로 사용하지 않는 algif_aead 모듈을 비활성화합니다. 컨테이너 환경에서는 패치 여부와 무관하게 seccomp 정책으로 AF_ALG 소켓 생성 호출 자체를 차단하는 것을 고려할 수 있습니다. 자세한 내용은 KISA 보호나라 공지를 참조해야 합니다.

교차검증일부 보안 업계 종사자들은 이번 취약점이 의도적으로 삽입된 백도어일 가능성을 제기했습니다. 실제 패치 내용이 2017년에 도입된 코드를 단순히 되돌리는 것이었고 해당 최적화가 처음부터 불필요했다는 점이 근거입니다. 현재까지 의도적 삽입을 입증하는 증거는 없으며 단순 버그로 보는 시각이 우세합니다.

출처한국인터넷진흥원 보안 업데이트 권고(2026-04-30): https://krcert.or.kr / Copy Fail 공식 사이트: https://copy.fail / NVD CVE 상세: https://nvd.nist.gov/vuln/detail/CVE-2026-31431 / 커널 패치: https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=a664bf3d603d / PoC 코드: https://github.com/theori-io/copy-fail-CVE-2026-31431'