- 4바이트 메모리 조작으로 루트 권한 탈취…파일 무결성 검사·EPP 탐지 우회 가능성 경고
카스퍼스키(Kaspersky)가 리눅스 커널 취약점 ‘카피 페일(Copy Fail·CVE-2026-31431)’ 분석 보고서를 공개하고 정상 시스템 호출만으로 메모리 캐시를 변조해 루트 권한을 획득할 수 있는 권한 탈취 공격 가능성을 경고했다. 카스퍼스키는 카피 페일(Copy Fail) 취약점은 리눅스 커널 `algif_aead` 모듈 내 버퍼 처리 오류에서 발생하며, 공격자는 파이썬(Python) 스크립트와 AF_ALG(리눅스 암호화 인터페이스), `splice()` 시스템 호출을 조합해 파일 메모리 캐시에 4바이트 값을 주입할 수 있다고 설명했다.
파일 변경 없이 루트 권한 탈취 가능
공격은 SUID(Set User ID) 비트가 설정된 실행 파일 메모리 캐시를 변조하는 방식으로 동작한다. 디스크 상 파일은 변경되지 않지만 메모리 상 실행 코드만 변조돼 루트 권한 기반 악성 행위를 수행한다.
카스퍼스키는 우분투(Ubuntu)와 레드햇 엔터프라이즈 리눅스(RHEL), 일부 윈도우 서브시스템 포 리눅스2(WSL2) 환경을 포함한 다양한 리눅스 시스템이 영향을 받을 수 있다고 설명했다. 도커(Docker)와 쿠버네티스(Kubernetes) 기반 컨테이너 환경에서는 물리 호스트 시스템까지 영향을 줄 수 있다고 분석했다. 특히 공격 과정이 정상 시스템 호출만 사용하기 때문에 기존 파일 무결성 검사와 엔드포인트 보호 플랫폼(EPP) 기반 탐지가 어렵다고 밝혔다.
EDR·SIEM 기반 행위 탐지 필요
카스퍼스키는 생성형 AI 기반 보안 환경 확대와 함께 행위 기반 탐지 중요성도 커지고 있다고 밝혔다. 파이썬(Python) 프로세스 기반 셸 실행과 SUID(Set User ID) 바이너리 호출, AF_ALG 소켓 생성 패턴 등을 주요 탐지 지표로 제시했다. 카스퍼스키 EDR Expert는 `possible_lpe_by_python`(Python 기반 권한 상승 탐지)과 `possible_copy_fail_cve_2026_31431`(카피 페일 취약점 탐지) 규칙을 기반으로 권한 상승 시도를 탐지할 수 있다. 부모·자식 프로세스 간 비정상 UID 변경과 수도(sudo) 호출 없이 발생하는 권한 상승도 주요 탐지 대상으로 분류했다.
카스퍼스키코리아 이효은 지사장은 “카피 페일(Copy Fail) 취약점은 시스템이 정상적으로 보이는 상태에서도 내부 권한이 이미 탈취될 수 있는 매우 교묘한 공격”이라며 “커널 업데이트와 함께 EDR·SIEM 기반 행위 탐지 체계 운영이 중요하다”고 밝혔다.
#카스퍼스키 #Kaspersky #CopyFail #리눅스취약점 #CVE202631431 #EDR #SIEM #사이버보안 #리눅스커널
