요즘 보안 업계에서 꽤 시끄러운 사건이 하나 터졌다.
'카피 페일(Copy Fail, CVE-2026-31431)'이라는 리눅스 취약점인데, 팀 단톡에 링크가 올라오자마자 바로 읽어봤다.
읽고 나서 솔직히 좀 충격받아서 정리해두고 싶었다.
개발 몰라도 읽을 수 있게 최대한 쉽게 써볼게.
1. 뭔 일인데 — 공용 사무실 비유
리눅스는 전 세계 서버, 클라우드, 안드로이드 기기의 기반이 되는 운영체제다. 그 내부에 암호화 기능을 담당하는 부품이 있는데, 2017년에 누군가 이걸 "최적화"하면서 아주 작은 설계 실수를 심어뒀다. 이게 8년간 아무도 못 찾다가 이번에 AI한테 들켰다.
비유를 하나 들어보면,
김 대리(암호화 기능): 일은 잘 하는데 물건 정리할 때 버릇이 있다. 자기 구역을 딱 4칸만 넘어서 옆 칸에 슬쩍 물건을 올려두는 거다. 사소한 버릇이라 지금껏 아무도 지적 안 했다.
그런데 2017년 어느 날, 팀 자리 배치가 바뀌면서 하필 그 '4칸 옆'이 인사팀 최고 기밀 서류함 위가 됐다.
이제 김 대리가 평소처럼 물건을 올려두면, 의도치 않게 서류함 속 내용을 덮어씌울 수 있는 상태가 된 거다.
실제 기술적으로는 이렇다.
암호화 연산 중에 결과값을 임시로 써야 하는데, 정해진 메모리 영역을 딱 4바이트 넘어서 엉뚱한 곳에 쓴다.
그 엉뚱한 곳이 하필 시스템 핵심 파일들이 올라와 있는 '페이지 캐시'라는 영역이고,
공격자는 이 4바이트를 정밀하게 조작해서 root(시스템 최고 관리자 권한)를 가져간다.
더 무서운 건 이게 운에 기대는 버그가 아니라는 점이다.
시도하면 거의 확실하게 성공한다.
실제 익스플로잇 코드가 단 732바이트짜리 Python 스크립트인데,
Ubuntu·Amazon Linux·RHEL·SUSE 주요 배포판 전부에서 root가 된다.
2. AI가 1시간 만에 찾았다고
이게 더 충격적인 부분이었다.
이 취약점을 발견한 건 Theori라는 보안 회사다.
자체 개발한 AI 도구 Xint Code로 리눅스 커널 암호화 코드를 스캔했더니 약 1시간 만에 이 결함을 찾아냈다고 한다.
프롬프트 한 번, 별도 세팅 없이.
수십 년간 수많은 개발자들이 코드를 들여다봤고, 8년 동안 아무도 못 찾은 버그를. AI가 커피 한 잔 마시는 시간에 찾아버린 거다.
3. 그럼 지금 당장 위험한 건가
결론만 말하면 "완전히 안전하진 않지만 당장 공황 상태일 필요는 없다".
조건이 있다. 이 취약점은 공격자가 이미 해당 시스템에 어떤 방식으로든 접속해 있어야 작동한다. 인터넷을 통해 아무 서버나 무작위로 공격하는 건 불가능하다.
근데 여기서 끝이 아니다. SSH 접근, 악성 CI 잡 실행, 컨테이너 탈출 이후에 이 취약점을 체이닝하면 손쉽게 root가 된다.
특히 Kubernetes 클러스터나 공용 CI/CD 환경이 실질적인 고위험군이다. 나도 이 부분이 제일 먼저 신경 쓰였다.
현재 CISA에서도 KEV 목록에 올렸고, Microsoft도 실제 익스플로잇 시도가 관찰됐다고 했다.
PoC가 이미 공개돼 있으니 시간이 지날수록 악용 사례는 늘어날 거다.
대응은 간단하다:
- 커널 패치가 최우선. 주요 배포판 업데이트 순차 배포 중이다.
- 패치 전 임시 조치로 algif_aead 모듈 비활성화가 있다.
4. 진짜 무서운 건 따로 있다
취약점 자체보다 더 인상적이었던 건 "발견 방법의 민주화" 였다.
기존 보안 업계에는 암묵적인 전제가 있었다.
커널급 취약점을 찾는 건 극소수 최고 수준의 연구자만 할 수 있고, 그래서 새 취약점 공급에는 자연스러운 속도 제한이 있다는 거다.
Copy Fail은 그 전제를 깨버렸다.
예전엔 취약점 하나 찾는 데 수개월에서 수년이 걸렸다.
앞으로는 AI 도구를 잘 쓰는 사람이라면 오픈소스 코드베이스를 빠르게 스캔해 유사한 결함을 훨씬 짧은 시간에 찾아낼 수 있다.
그리고 보안계엔 "취약점을 찾으면 개발자가 패치할 때까지 비공개로 유지한다"는 책임공개 문화가 있었는데, 이번엔 패치 완성 전에 PoC가 먼저 풀렸다.
AI로 발견 속도가 빨라지면 이 문화 자체도 흔들릴 수 있다.
내가 조용히 기다리는 동안 다른 누군가가 똑같은 버그를 찾아서 먼저 올려버릴 수 있으니까.
2017년에 "조금 더 효율적으로 만들어보자"고 한 최적화 하나가, 8년 뒤 AI한테 걸려서 전 세계 리눅스 서버를 긴장하게 만들었다.
방어하는 쪽은 모든 구멍을 막아야 하고, 공격하는 쪽은 하나만 찾으면 된다.
거기에 AI가 공격 효율을 확 높여주기 시작했으니, 방어 쪽도 그만큼 빠르게 따라가야 하는 시대가 됐다.
일하면서 느끼는 건데, 보안은 결국 속도 싸움인 것 같다.
'Tech' 카테고리의 다른 글
| Claude Fable 5 & Mythos 5 출시 — 뭐가 달라졌나? (0) | 2026.06.10 |
|---|---|
| [Claude Design] 피그마 + 클로드로 나만의 포트폴리오 사이트 만들기 (1) | 2026.05.15 |
| Power Automate에서 SharePoint 컬럼을 못 찾는 현상, Title칼럼 삭제 불가 현상 (0) | 2026.05.14 |
| Google Drive+ Gemini로 주문서 입력 자동화하기 (1) | 2026.04.22 |
| 디자이너들은 대체 되는가? Claude Design기능 출시 (0) | 2026.04.20 |