본문 바로가기

Tech

역대급 리눅스 취약점 '카피 페일' (copy fail) 쉽게 이해하기 — AI가 1시간 만에 찾아낸 보안 스캔들

요즘 보안 업계에서 꽤 시끄러운 사건이 하나 터졌다.

'카피 페일(Copy Fail, CVE-2026-31431)'이라는 리눅스 취약점인데, 팀 단톡에 링크가 올라오자마자 바로 읽어봤다.

 

읽고 나서 솔직히 좀 충격받아서 정리해두고 싶었다.

개발 몰라도 읽을 수 있게 최대한 쉽게 써볼게.

 

1. 뭔 일인데 — 공용 사무실 비유

리눅스는 전 세계 서버, 클라우드, 안드로이드 기기의 기반이 되는 운영체제다. 그 내부에 암호화 기능을 담당하는 부품이 있는데, 2017년에 누군가 이걸 "최적화"하면서 아주 작은 설계 실수를 심어뒀다. 이게 8년간 아무도 못 찾다가 이번에 AI한테 들켰다.

비유를 하나 들어보면,

김 대리(암호화 기능): 일은 잘 하는데 물건 정리할 때 버릇이 있다. 자기 구역을 딱 4칸만 넘어서 옆 칸에 슬쩍 물건을 올려두는 거다. 사소한 버릇이라 지금껏 아무도 지적 안 했다.

그런데 2017년 어느 날, 팀 자리 배치가 바뀌면서 하필 그 '4칸 옆'이 인사팀 최고 기밀 서류함 위가 됐다.

이제 김 대리가 평소처럼 물건을 올려두면, 의도치 않게 서류함 속 내용을 덮어씌울 수 있는 상태가 된 거다.

실제 기술적으로는 이렇다.

 

암호화 연산 중에 결과값을 임시로 써야 하는데, 정해진 메모리 영역을 딱 4바이트 넘어서 엉뚱한 곳에 쓴다.

그 엉뚱한 곳이 하필 시스템 핵심 파일들이 올라와 있는 '페이지 캐시'라는 영역이고,

공격자는 이 4바이트를 정밀하게 조작해서 root(시스템 최고 관리자 권한)를 가져간다.

 

더 무서운 건 이게 운에 기대는 버그가 아니라는 점이다.

시도하면 거의 확실하게 성공한다.

실제 익스플로잇 코드가 단 732바이트짜리 Python 스크립트인데,

Ubuntu·Amazon Linux·RHEL·SUSE 주요 배포판 전부에서 root가 된다.


2. AI가 1시간 만에 찾았다고

이게 더 충격적인 부분이었다.

이 취약점을 발견한 건 Theori라는 보안 회사다.

자체 개발한 AI 도구 Xint Code로 리눅스 커널 암호화 코드를 스캔했더니 약 1시간 만에 이 결함을 찾아냈다고 한다.

프롬프트 한 번, 별도 세팅 없이.

수십 년간 수많은 개발자들이 코드를 들여다봤고, 8년 동안 아무도 못 찾은 버그를. AI가 커피 한 잔 마시는 시간에 찾아버린 거다.


3. 그럼 지금 당장 위험한 건가

결론만 말하면 "완전히 안전하진 않지만 당장 공황 상태일 필요는 없다".

조건이 있다. 이 취약점은 공격자가 이미 해당 시스템에 어떤 방식으로든 접속해 있어야 작동한다. 인터넷을 통해 아무 서버나 무작위로 공격하는 건 불가능하다.

근데 여기서 끝이 아니다. SSH 접근, 악성 CI 잡 실행, 컨테이너 탈출 이후에 이 취약점을 체이닝하면 손쉽게 root가 된다.

특히 Kubernetes 클러스터나 공용 CI/CD 환경이 실질적인 고위험군이다. 나도 이 부분이 제일 먼저 신경 쓰였다.

현재 CISA에서도 KEV 목록에 올렸고, Microsoft도 실제 익스플로잇 시도가 관찰됐다고 했다.

PoC가 이미 공개돼 있으니 시간이 지날수록 악용 사례는 늘어날 거다.

 

대응은 간단하다:

  • 커널 패치가 최우선. 주요 배포판 업데이트 순차 배포 중이다.
  • 패치 전 임시 조치로 algif_aead 모듈 비활성화가 있다.

4. 진짜 무서운 건 따로 있다

취약점 자체보다 더 인상적이었던 건 "발견 방법의 민주화" 였다.

기존 보안 업계에는 암묵적인 전제가 있었다.

커널급 취약점을 찾는 건 극소수 최고 수준의 연구자만 할 수 있고, 그래서 새 취약점 공급에는 자연스러운 속도 제한이 있다는 거다.

Copy Fail은 그 전제를 깨버렸다.

예전엔 취약점 하나 찾는 데 수개월에서 수년이 걸렸다.

 

앞으로는 AI 도구를 잘 쓰는 사람이라면 오픈소스 코드베이스를 빠르게 스캔해 유사한 결함을 훨씬 짧은 시간에 찾아낼 수 있다.

그리고 보안계엔 "취약점을 찾으면 개발자가 패치할 때까지 비공개로 유지한다"는 책임공개 문화가 있었는데, 이번엔 패치 완성 전에 PoC가 먼저 풀렸다.

AI로 발견 속도가 빨라지면 이 문화 자체도 흔들릴 수 있다.

내가 조용히 기다리는 동안 다른 누군가가 똑같은 버그를 찾아서 먼저 올려버릴 수 있으니까.

 

2017년에 "조금 더 효율적으로 만들어보자"고 한 최적화 하나가, 8년 뒤 AI한테 걸려서 전 세계 리눅스 서버를 긴장하게 만들었다.

방어하는 쪽은 모든 구멍을 막아야 하고, 공격하는 쪽은 하나만 찾으면 된다.

거기에 AI가 공격 효율을 확 높여주기 시작했으니, 방어 쪽도 그만큼 빠르게 따라가야 하는 시대가 됐다.

일하면서 느끼는 건데, 보안은 결국 속도 싸움인 것 같다.

반응형