Copy.Fail 리눅스 취약점

출처: Schneier on Security

TL;DR

• copy.fail 은 브라우저나 클립보드 공격이 아니라 Linux 커널 로컬 권한 상승(LPE) 취약점이다.
• 2026년 4월 29일 Theori가 작동하는 PoC와 함께 공개했다.
• 커널 암호화 API(AF_ALG 소켓)와 splice() 를 결합해 공격자가 소유하지 않은 파일의 페이지 캐시에 한 번에 4바이트씩 직접 기록한다.
• Ubuntu, RHEL, Debian, SUSE, Amazon Linux, Fedora 등 대부분의 배포판에서 수정 없이 동작한다—경쟁 조건도 없고 배포판별 오프셋도 필요 없다.
• 디스크상의 파일은 절대 수정되지 않으므로 AIDE, Tripwire, 체크섬 기반 모니터링 도구가 아무것도 감지하지 못한다.
• Kubernetes Pod Security Standards(Restricted)와 기본 RuntimeDefault seccomp 프로파일은 필요한 시스템 콜을 차단하지 않는다; 커스텀 seccomp 프로파일이 필요하다.
• 메인라인 패치는 2026년 4월 1일 적용됐으며, 각 배포판이 현재 패치된 커널을 배포 중이다.

왜 중요한가

“로컬 권한 상승”은 이미 비특권 사용자로 코드를 실행할 수 있는 공격자가 루트 권한으로 상승할 수 있음을 의미한다. 루트가 되면 공격자는 모든 파일을 읽고, 백도어를 설치하고, 모든 프로세스를 감시하며, 다른 시스템으로 피벗할 수 있다.

2026년 현재 “로컬”은 매우 다양한 환경을 포함한다:

• 공유 Kubernetes 노드上的 컨테이너
• 공유 호스팅 서버上的 테넌트
• 신뢰할 수 없는 풀 리퀘스트 코드를 실행하는 CI/CD 작업
• Windows 노트북의 WSL2 인스턴스
• 쉘 접근 권한을 가진 컨테이너화된 AI 에이전트

이 모든 워크로드는 동일한 Linux 커널을 공유한다. LPE가 발생하면 이들 사이의 격리 경계가 무너지고, 전체 호스트가 위험에 노출된다.

참고 자료

• 상세 분석: Copy‑fail (CVE‑2026‑31431) Linux 커널 버그 설명
• 뉴스 보도: Ars Technica – “수년간 가장 심각한 Linux 위협이 등장하면서 전 세계가 급히 대응한다”