AI 요약
'Copy Fail'로 명명된 CVE-2026-31431 취약점은 2017년부터 최근 패치 이전까지 빌드된 거의 모든 주류 리눅스 커널에 영향을 미치는 심각한 보안 결함입니다. 이 취약점은 커널의 암호화 API인 AF_ALG(algif_aead) 내의 인플레이스 최적화 과정에서 발생했으며, 로컬 일반 사용자가 네트워크 접근이나 특수 권한 없이도 루트 권한을 획득할 수 있게 합니다. 특히 공유 개발 환경, CI/CD 러너(GitHub Actions, GitLab), 서버리스 함수 등 여러 사용자가 커널을 공유하는 인프라에서 컨테이너 경계를 넘어 전체 노드를 장악할 수 있다는 점에서 위험성이 매우 큽니다. 이번 취약점은 AI 기반 보안 감사 도구인 'Xint Code'에 의해 단 1시간의 스캔으로 발견되었으며, 현재 대부분의 주요 배포판에서 패치가 배포 중입니다. 시스템 관리자는 신속하게 커널을 업데이트하거나 임시 방편으로 관련 모듈을 비활성화해야 합니다.
핵심 인사이트
- 영향 범위: 2017년 도입된 최적화 코드 이후부터 패치 전까지의 거의 모든 주류 리눅스 배포판(Ubuntu, Debian, Fedora, Arch 등)이 대상입니다.
- 발견 도구: DARPA AI Cyber Challenge 결선 진출작인 'Xint Code'가 약 1시간의 자동화된 스캔을 통해 취약점의 근본 원인과 다이어그램까지 추출해냈습니다.
- 기술적 근거: 리눅스 메인라인 커밋
a664bf3d603d를 통해 수정되었으며, 이는 2017년 적용된algif_aead최적화 코드를 롤백하는 내용을 담고 있습니다. - 공격 요건: 권한이 없는 로컬 사용자 계정만 있으면 되며, 네트워크 접근이나 커널 디버깅 기능 등 복잡한 전제 조건이 필요하지 않습니다.
주요 디테일
- 취약점 작동 방식: 페이지 캐시(Page Cache)가 쓰기 가능한 목적지 산란 리스트(scatterlist)에 잘못 포함되어 발생하는 결함으로, 호스트 전체에서 공유되는 페이지 캐시의 특성을 악용합니다.
- 공격 대상 및 PoC: 제공된 파이썬 기반 PoC는 기본적으로
/usr/bin/su를 타겟팅하며, Python 3.10 이상의 표준 라이브러리(os, socket, zlib)만으로 구동됩니다. - 인프라 위협: GitHub Actions 자가 호스트 러너, Jenkins 에이전트 등 신뢰할 수 없는 코드를 실행하는 공유 커널 환경에서 테넌트 간 경계를 허물 수 있습니다.
- 임시 완화 대책: 즉각적인 패치가 어려운 경우
algif_aead커널 모듈을 비활성화하거나, seccomp를 사용하여 AF_ALG 소켓 생성을 차단할 것을 권장합니다. - AI의 성능: Xint Code는 동일한 스캔 과정에서 리눅스 커널 외에도 Redis, PostgreSQL, MariaDB 등 주요 데이터베이스 시스템에서도 다수의 제로데이 취약점을 발견했습니다.
향후 전망
- AI 기반 보안 감사 도구가 수년간 방치되었던 오픈소스 커널의 복잡한 버그를 단시간에 찾아냄에 따라, 향후 소프트웨어 보안 심사 방식의 패러다임 변화가 예상됩니다.
- 클라우드 및 CI/CD 서비스 제공업체들은 공유 커널 구조에서 발생할 수 있는 '컨테이너 탈출' 위험에 대해 보다 근본적인 격리 기술을 검토해야 할 것입니다.
출처:hackernews