--- title: "리눅스 주요 배포판에 영향 주는 Dirty Frag 권한 상승 취약점 공개" published: 2026-05-07T19:21:32.000Z canonical: https://jeff.news/article/2304 --- # 리눅스 주요 배포판에 영향 주는 Dirty Frag 권한 상승 취약점 공개 oss-security 메일링 리스트에 Dirty Frag라는 리눅스 로컬 권한 상승 취약점 보고가 공개됐어. 공개 시점 기준 패치와 CVE가 없다고 밝혀졌고, 주요 배포판에서 루트 권한 획득으로 이어질 수 있다는 점 때문에 서버 운영자와 보안팀이 바로 봐야 할 이슈야. - Dirty Frag라는 리눅스 로컬 권한 상승(LPE) 취약점 보고가 oss-security 메일링 리스트에 공개됨 - 작성자는 주요 배포판에서 일반 사용자가 루트 권한을 얻을 수 있는 수준의 영향이라고 설명함 - 과거 Copy Fail 취약점과 비슷한 충격을 가진다고 표현했고, 두 개의 별도 취약점을 체인으로 엮는 구조라고 밝힘 - 공개 시점 기준으로 패치도 CVE도 없다고 적혀 있어, 운영 관점에선 꽤 빡센 상황임 > [!WARNING] > 공개 글에 따르면 엠바고가 깨진 상태라 패치가 준비되기 전에 세부 내용이 먼저 나온 케이스임. 리눅스 서버 운영자는 배포판 보안 공지와 커널 모듈 상태를 바로 확인하는 게 맞음. - 핵심은 ‘원격 코드 실행’이 아니라 ‘로컬 권한 상승’임 - 즉, 외부에서 바로 서버를 뚫는 유형이라기보다는 이미 쉘 접근, 웹쉘, 취약한 서비스 계정, 컨테이너 탈출 후보 같은 발판이 있을 때 위험해짐 - 하지만 클라우드 서버나 CI 러너, 다중 사용자 머신, 컨테이너 호스트에서는 로컬 권한 상승이 사실상 호스트 장악으로 이어질 수 있음 - 특히 루트 권한 획득이 가능하다고 주장되는 취약점은 패치 전 대응 우선순위가 높아질 수밖에 없음 - 보고서가 언급한 취약점 체인은 리눅스 커널 네트워크 경로와 파일 캐시 동작을 건드리는 쪽임 - 한 축은 XFRM/ESP 관련 경로로 설명됨. XFRM은 리눅스 커널에서 IPsec 같은 패킷 변환과 보안 정책 처리를 담당하는 프레임워크임 - 다른 축은 rxrpc/rxkad 경로로 언급됨. rxrpc는 커널이 지원하는 RPC 계열 네트워크 프로토콜이고, 일반 앱 개발자가 자주 만지는 영역은 아니지만 커널 공격 표면이 될 수 있음 - 공개 글에는 전체 익스플로잇 코드가 포함돼 있지만, 운영자가 봐야 할 포인트는 세부 공격 절차가 아니라 어떤 커널 기능이 위험 표면인지임 - 임시 완화책으로는 관련 커널 모듈을 비활성화하라는 방향이 제시됨 - 공개 글에서는 esp4, esp6, rxrpc 모듈을 로드하지 못하게 막고 이미 로드된 모듈을 제거하는 방식을 언급함 - 다만 IPsec, 특정 분산 파일 시스템, 레거시 네트워크 기능을 실제로 쓰는 환경이라면 서비스 영향이 있을 수 있음 - 그래서 운영 환경에서는 무작정 적용하기보다 해당 모듈 사용 여부, 배포판 권고, 커널 버전을 같이 확인해야 함 - 이번 케이스에서 특히 찝찝한 건 ‘패치 없는 공개’라는 점임 - 보통 심각한 커널 취약점은 배포판과 보안팀이 비공개로 조율한 뒤 패치와 함께 공개되는 흐름을 기대함 - 그런데 글쓴이는 책임 있는 공개 일정과 엠바고가 깨졌고, 그래서 문서를 공개한다고 설명함 - 이러면 공격자와 방어자가 거의 동시에 정보를 받는 구도가 돼서, 방어팀 입장에선 시간 싸움이 됨 - 한국 개발자와 운영팀에도 관련성이 높음 - 리눅스는 국내 서비스 인프라, 쿠버네티스 노드, 개발 서버, 사내 빌드 머신에서 기본값처럼 쓰임 - 보안팀이 따로 있는 회사라도 개발팀이 직접 운영하는 테스트 서버나 배치 서버는 공지 반영이 늦어질 수 있음 - 지금 확인할 건 세 가지임. 커널 버전, 관련 모듈 로드 여부, 배포판 보안 업데이트 공지임 --- ## 기술 맥락 - Dirty Frag가 무서운 이유는 커널 네트워크 기능이 파일 시스템 쪽 영향으로 이어질 수 있다고 설명되기 때문이에요. 보통 개발자는 네트워크 모듈과 `/etc/passwd`나 `/usr/bin/su` 같은 파일을 별개로 생각하지만, 커널 내부에서는 페이지 캐시와 splice 계열 경로가 엮일 수 있거든요. - 이번 보고에서 XFRM/ESP와 rxrpc가 중요하게 나오는 이유도 여기에 있어요. 둘 다 평범한 웹 애플리케이션 코드에서는 거의 안 만지지만, 커널 모듈로 존재하면 로컬 사용자가 공격 표면으로 삼을 수 있어요. 안 쓰는 기능도 로드 가능하면 리스크가 되는 셈이에요. - 로컬 권한 상승은 원격 취약점보다 덜 급해 보일 수 있지만, 실제 운영에서는 그렇지 않아요. 웹 서비스 계정 하나가 털렸거나 CI 작업자가 제한된 쉘을 얻은 상태라면, LPE는 그 다음 단계를 열어주는 도구가 돼요. - 그래서 방어의 핵심은 패치가 나오기 전까지 공격 표면을 줄이는 거예요. 관련 모듈을 쓰지 않는 서버라면 비활성화가 현실적인 임시 조치가 될 수 있고, 쓰는 환경이라면 배포판 권고와 서비스 영향 평가를 같이 해야 해요. ## 핵심 포인트 - Dirty Frag는 주요 리눅스 배포판에서 루트 권한 상승으로 이어질 수 있다고 보고됨 - 문제는 XFRM/ESP 계열과 rxrpc/rxkad 경로의 취약점 체인으로 설명됨 - 엠바고가 깨지면서 공개 시점 기준 배포판 패치와 CVE가 없다고 밝힘 - 임시 완화책으로 esp4, esp6, rxrpc 모듈 비활성화가 제시됨 - AI 뉴스보다 훨씬 즉각적인 운영 리스크가 있는 커널 보안 이슈임 ## 인사이트 이건 ‘나중에 읽어볼 보안 글’이 아니라 리눅스 서버를 운영한다면 모듈 로딩 상태와 배포판 공지를 바로 확인해야 하는 유형이야. 특히 컨테이너 호스트나 다중 사용자 환경에서는 로컬 권한 상승이 곧 전체 호스트 장악으로 이어질 수 있음.