본문으로 건너뛰기
J
피드

리눅스 커널 취약점, 배포판에 사전 알림이 없을 수도 있다는 현실

security 약 6분
tags
#linux-kernel#cve#privilege-escalation#ipsec#kernel
vote
0
댓글
북마크

리눅스 커널 로컬 권한 상승 취약점인 CVE-2026-31431 대응 과정에서, 배포판들이 사전에 알림을 받지 못했다는 점이 드러났어. 취약점은 2017년 리눅스 4.14에 들어간 커밋에서 시작됐고, 일부 최신 stable 커널에는 수정이 들어갔지만 여러 장기지원 커널에는 아직 깔끔한 백포트가 없는 상태야.

  • 1

    CVE-2026-31431은 로컬 사용자가 루트 권한을 얻을 수 있는 심각한 리눅스 커널 취약점으로 언급됨

  • 2

    수정은 6.18.22, 6.19.12, 7.0에 들어갔지만 6.12, 6.6, 6.1, 5.15, 5.10 장기지원 커널에는 아직 적용되지 않은 것으로 보임

  • 3

    리눅스 커널 취약점은 제보자가 linux-distros 메일링 리스트에 직접 공유하지 않으면 배포판이 사전 통지를 받지 못할 수 있음

  • 4

    Gentoo 쪽은 즉시 배포 가능한 임시 대응으로 IPSec 관련 authencesn 모듈 비활성화 패치를 준비 중이라고 밝힘

  • 리눅스 커널 취약점 CVE-2026-31431을 두고, 배포판들이 사전에 경고를 받지 못했다는 얘기가 oss-security 메일링 리스트에서 나왔음

    • Gentoo의 Sam James가 밝힌 핵심은 이거임: 제보자가 linux-distros 메일링 리스트에 따로 공유하지 않으면, 리눅스 커널 취약점은 배포판에 사전 알림이 가지 않을 수 있음
    • 이번 건도 그런 사전 공유가 없었다고 함. 즉, 배포판 입장에서는 패치 릴리스나 공개 논의를 보고 뒤늦게 대응해야 하는 구도가 된 셈

  • 문제의 취약점은 꽤 오래된 커널 코드에서 시작된 로컬 권한 상승 이슈로 보임

    • 원문 스레드에 따르면 취약점은 2017년에 리눅스 4.14에 들어간 커밋 72548b093ee38a6d4f2a19e6ef1948ae05c181f7에서 유입된 것으로 정리돼 있음
    • 수정 커밋은 6.18.22, 6.19.12, 7.0 계열에 각각 들어갔고, 링크된 stable 커밋도 3개가 제시됐음
    • 한 참여자는 이걸 “최근 커널 취약점 중 최악급 make-me-root 취약점”이라고 표현했음. 말 그대로 로컬 사용자가 루트 권한을 얻는 류라서 표현이 세다기보다 위험도가 실제로 빡센 쪽

⚠️주의

> 로컬 권한 상승 취약점은 “외부에서 바로 뚫리는 RCE가 아니니까 괜찮다”로 넘기면 안 됨. 이미 낮은 권한으로 들어온 공격자가 루트까지 올라가는 마지막 계단이 될 수 있음.

  • 더 골치 아픈 부분은 장기지원 커널 쪽임

    • 6.18.22와 6.19.12는 4월 11일에 수정이 백포트된 릴리스가 나왔다는 언급이 있음
    • 그런데 6.12, 6.6, 6.1, 5.15, 5.10 같은 longterm 계열에는 당시 기준으로 수정이 들어가지 않았고, upstream stable queue에서도 보이지 않는다고 지적됨
    • 취약점이 4.14에서 유입됐다면 이 오래된 계열들도 영향권일 가능성이 있는데, 문제는 패치가 깔끔하게 적용되지 않는다는 점임

  • Gentoo 쪽은 당장 쓸 수 있는 완전한 백포트 대신 우회책을 택하는 분위기임

    • Sam James는 직접 백포트를 시도했지만 API 변경 몇 가지에 걸렸고, 즉시 배포해야 하는 보안 대응에서 확신 없이 건드리기 어렵다고 설명함
    • 그래서 첨부 패치로 crypto 쪽 authencesn 모듈을 비활성화하는 workaround를 쓰겠다고 함
    • 본인도 IPSec 전문가는 아니지만 “덜 나쁜 선택”이라고 표현했음. 보안 패치가 기능 제한으로 이어지는 전형적인 운영자 눈물 버튼임

중요

> 이번 이슈의 포인트는 “취약점이 있다”에서 끝나지 않음. 최신 stable에는 수정이 있는데 longterm 커널에는 아직 없고, 배포판 사전 통지도 보장되지 않는다는 공급망 타이밍 문제가 같이 터졌음.

  • 한국 개발자나 인프라 운영자 입장에서는 커널 버전 확인을 대충 하면 위험함
    • “우리 서버는 LTS 커널이니까 안전하겠지”가 자동으로 성립하지 않음
    • 배포판 커널 패키지가 어떤 stable 커밋을 포함했는지, CVE-2026-31431에 대한 배포판 보안 공지가 나왔는지 확인해야 함
    • 특히 멀티유저 서버, CI 러너, 빌드 머신, 컨테이너 호스트처럼 낮은 권한 코드가 자주 실행되는 환경이면 우선순위를 높게 잡는 게 맞음

기술 맥락

  • 이번 선택의 핵심은 “정식 백포트가 어렵다면 위험한 기능을 잠시 꺼서라도 공격면을 줄인다”예요. Gentoo 쪽이 authencesn 모듈 비활성화를 언급한 이유도 완성도 낮은 커널 패치를 급히 넣는 것보다, 영향을 받는 기능을 제한하는 쪽이 즉시 배포에는 더 예측 가능하다고 본 거예요.

  • 커널 백포트가 어려운 이유는 단순히 패치 파일이 충돌나서가 아니에요. 2017년에 들어간 코드가 여러 커널 버전을 거치며 주변 API와 내부 구조가 바뀌었고, 보안 패치는 작은 실수 하나가 커널 패닉이나 우회 가능한 불완전 수정으로 이어질 수 있거든요.

  • 운영 관점에서는 “수정 커밋이 upstream에 있다”와 “내 서버 커널에 반영됐다”를 분리해서 봐야 해요. 특히 6.12, 6.6, 6.1, 5.15, 5.10 같은 장기지원 계열을 쓰는 환경은 배포판 보안 패키지와 changelog까지 확인해야 실제 대응 여부를 알 수 있어요.

  • linux-distros 사전 통지 문제도 꽤 중요해요. 배포판들이 미리 준비할 시간이 없으면 취약점 공개 직후 며칠 동안은 최신 stable 사용자, longterm 사용자, 배포판 패키지 사용자 사이에 보안 상태가 갈라질 수밖에 없어요.

커널 보안에서 제일 무서운 건 취약점 자체만이 아니라, 수정이 공개된 뒤 장기지원 커널과 배포판 패키지까지 내려오는 시간차야. 서버 운영자는 커널 버전 숫자만 볼 게 아니라, 해당 취약점 패치가 자기 배포판 빌드에 실제로 들어왔는지 확인해야 함.

prev

이전 기사 (P)

next

다음 기사 (N)

댓글

댓글

댓글을 불러오는 중...

관련 기사

security

엑스게이트, 양자보안·AI 방화벽으로 VPN 이후 먹거리 찾는다

국내 VPN 시장 1위 사업자인 엑스게이트가 기존 VPN·방화벽 사업을 기반으로 양자보안과 AI 차세대 방화벽을 성장축으로 삼겠다고 밝혔다. QRNG와 PQC를 결합한 AX-Quantum 플랫폼, 국방 시범사업, LLM 기반 자연어 보안장비 제어가 주요 포인트다.

security

에이씨앤티시스템·센스톤, 수처리 OT 보안에 단방향 동적 인증 붙인다

에이씨앤티시스템과 센스톤이 OT 보안 솔루션 공동 개발을 위한 업무협약을 맺었다. 센스톤의 OTAC 단방향 동적 인증 기술을 산업용 제어망 장비와 EtherFOS에 접목하고, 수처리 시설을 시작으로 반도체·에너지·플랜트 분야까지 확장하는 구상이다.

security

에버스핀, 웹 보안 게이트웨이에 양자내성암호 전송 보호 붙였다

에버스핀이 웹 보안 플랫폼 에버세이프 웹 클라우드 버전에 포스트 양자암호(PQC) 기반 전송구간 보호 기능을 넣었다. TLS 1.3 기반 하이브리드 키 교환 방식인 X25519MLKEM768을 활용해, 지금 훔쳐간 암호문을 나중에 양자컴퓨터로 푸는 수집 후 해독 위험까지 겨냥한다.

security

지캐시, 앤트로픽 AI 감사로 추가 중대 취약점은 못 찾았다고 발표

지캐시 창시자 주코 윌콕스가 앤트로픽 AI 모델을 활용한 추가 보안 감사 결과를 공개했다. 최근 오차드 풀에서 가짜 ZEC를 무한 생성할 수 있는 위조 취약점이 발견돼 수정된 뒤, 같은 맥락에서 추가 중대 취약점이 있는지 확인한 것이다.

security

티빙 개인정보 유출, 비밀번호보다 더 무서운 건 CI와 DI가 새었다는 점

티빙 개인정보 유출 사고를 두고 국내 플랫폼 보안의 취약함을 지적한 글이다. 특히 이름, 생년월일, 휴대전화번호, 비밀번호뿐 아니라 변경이 어려운 CI와 DI까지 유출됐다는 점에서 2차 피해 위험이 크다고 본다.