티오리, 리눅스 커널 취약점 ‘Copy Fail’ 발견
티오리는 리눅스 커널에서 일반 사용자가 시스템 최고 권한인 루트(root)를 얻을 수 있는 고위험 취약점 ‘Copy Fail’을 발견했다고 1일 밝혔다.
이번 취약점은 CVE-2026-31431로 등록됐다. 리눅스 커널의 암호화 처리 모듈에서 발생하는 로컬 권한 상승(LPE) 취약점이다. 로컬 권한 상승은 시스템에 접근한 일반 사용자가 더 높은 권한을 얻는 공격 방식을 뜻한다.
Copy Fail은 리눅스 커널의 암호화 처리 과정에서 페이지 캐시를 잘못 다루는 논리 오류를 이용한다. 페이지 캐시는 운영체제가 파일을 빠르게 읽기 위해 메모리에 임시로 올려두는 데이터다. 공격자는 디스크에 저장된 원본 파일을 직접 바꾸지 않고 메모리에 올라온 데이터를 변조할 수 있다.
티오리에 따르면 이 취약점은 짧은 파이썬 코드만으로 루트 권한 획득에 악용될 수 있다. 회사는 우분투(Ubuntu), 아마존 리눅스(Amazon Linux), 레드햇 엔터프라이즈 리눅스(RHEL), 수세(SUSE) 등 2017년 이후 커널을 기반으로 한 주요 리눅스 배포판에서 영향을 확인했다.
공격 흔적을 찾기 어렵다는 점도 문제다. 디스크의 실제 파일은 그대로 남고 메모리 데이터만 바뀌기 때문이다. 기존 파일 무결성 검사나 디지털 포렌식 도구가 디스크 파일만 비교하면 침입 흔적을 놓칠 수 있다.
컨테이너 환경에서도 위험이 발생할 수 있다. 컨테이너는 서비스나 사용자를 격리해 실행하는 기술이다. 그러나 페이지 캐시는 호스트 운영체제에서 공유되는 영역이다. 공격자가 이 영역을 조작하면 컨테이너 격리를 우회해 서버 전체에 영향을 줄 수 있다.
이번 취약점은 티오리의 인공지능(AI) 기반 코드 분석 솔루션 ‘진트 코드(Xint Code)’가 발견했다. 티오리는 연구진의 보안 분석 경험과 진트 코드의 자동 분석 기능을 결합해 리눅스 커널 암호화 하위 시스템을 점검했고, 약 1시간 만에 해당 취약점을 식별했다고 설명했다.
박세준 티오리 대표는 “Copy Fail은 가장 신뢰받는 운영체제의 설계도 취약할 수 있음을 보여준다”며 “공격자가 AI를 활용하는 환경에서는 기존 방어 체계만으로 대응하기 어렵다. 인프라 전체를 보호하기 위한 보안 체계 전환이 필요하다”고 말했다.
티오리는 리눅스 커널 보안팀과 협력해 패치 개발을 완료했다. 회사는 리눅스 관리자가 패치 커밋a664bf3d603d가 반영된 최신 커널로 업데이트해야 한다고 권고했다. 즉시 커널 업데이트가 어려운 경우에는 영향을 받는 암호화 모듈 사용 여부를 점검하고 임시 완화 조치를 적용해야 한다.
글. 바이라인네트워크
<곽중희 기자>god8889@byline.network


