CVE-2026-31431 취약점

CVE-2026-31431 취약점

CVE-2026-31431(일명 Copy Fail)은 Linux 커널의 사용자 공간 암호 API(AF_ALG) 중 algif_aead 경로에서 발생하는 취약점으로, 로컬(비권한) 사용자가 시스템 파일/프로세스에 영향을 주며 권한 상승으로 이어질 수 있는 것으로 알려져 있다. (공식 레코드/설명: nvd.nist.gov, cve.org)

개요

이 취약점은 Linux 커널의 암호 서브시스템에서, AEAD(Authenticated Encryption with Associated Data) 소켓 인터페이스를 처리하는 과정에서 잘못된 동작(최적화/매핑 처리)이 발생해 보안 경계를 깨뜨리는 유형으로 보고되어 있다. CERT-EU는 본 이슈가 algif_aead 모듈(사용자 공간 crypto API, AF_ALG)에서 비롯된 로컬 권한 상승(LPE) 취약점이며, 2017년경 도입된 변경과 연관된 것으로 설명한다. (cert.europa.eu)

실무 기준으로 보면
이 건은 “외부에서 바로 침투”보다는 로컬 계정/컨테이너 내부 사용자가 foothold를 잡은 뒤
root 권한으로 점프하는 체인에 붙기 쉽다.
따라서 서버뿐 아니라 멀티테넌트, CI 러너, 컨테이너 호스트처럼 로컬 실행 권한이 넓은 환경에서 우선순위를 올리는 게 합리적이다.

환경

• 대상: Linux 커널(배포판 커널 포함)
• 공격 조건: 일반적으로 로컬에서 코드 실행이 가능한 사용자(비권한 계정 포함)
• 관련 구성 요소: AF_ALG(커널 crypto API), algif_aead 모듈
• 위험이 커지는 환경: 다수 사용자/워크로드가 동시에 존재하는 서버, CI/빌드 러너, 컨테이너 밀집 호스트

증상

CVE-2026-31431은 “특정 애플리케이션 에러 코드”로 바로 드러나기보다, 공격자가 로컬 권한을 올린 뒤에야 흔적이 나타나는 유형이다. 운영 관점에서는 아래 시그널로 의심할 수 있다.

• 예상치 못한 root 권한 획득 흔적(특히 setuid 바이너리/권한 변경 관련 이상)
• 보안 에이전트/감사 로그에서 로컬 사용자 행동과 권한 상승 이벤트의 비정상 결합
• 컨테이너/배치 잡에서 비권한 사용자로 시작했는데 호스트/노드에서 권한 관련 경고 발생

“악용 중(in the wild)” 경고가 언급된 공지들도 있어, 노출 환경에서는 패치 우선순위를 높게 잡는 편이 안전하다. (hkcert.org, microsoft.com)

1차 점검

1) 커널 버전 확인

uname -r

배포판별 백포트가 많기 때문에, 단순히 메이저 버전만으로 결론 내리기보다는 배포판 보안 공지/패치 레벨을 기준으로 확인하는 것이 안전하다.

2) 영향 범위(버전) 빠른 기준

KRCERT 권고에 기재된 영향/해결 버전 표를 기준으로 “현재 커널이 해결 버전 이상인지”를 먼저 대조한다. (krcert.or.kr)

계열	영향 버전(미만)	해결 버전(이상)
6.19	6.19.12 미만	6.19.12
6.13 ~ 6.18	6.18.22 미만	6.18.22
6.7 ~ 6.12	6.12.85 미만	6.12.85
6.2 ~ 6.6	6.6.137 미만	6.6.137
5.16 ~ 6.1	6.1.170 미만	6.1.170
5.11 ~ 5.15	5.15.204 미만	5.15.204
4.14 ~ 5.10	5.10.254 미만	5.10.254

3) 관련 모듈 로딩 여부 확인(임시 완화 판단용)

# 모듈 로딩 여부
lsmod | egrep 'algif_aead|af_alg'

# 모듈 존재 여부(배포판/커널에 따라 경로 다를 수 있음)
modinfo algif_aead 2>/dev/null | head

주의
일부 커널은 해당 기능이 모듈이 아니라 커널에 내장(built-in)될 수 있다.
이 경우 “모듈 언로드” 완화가 제한적일 수 있으므로, 패치 커널 적용이 사실상 유일한 종결책이 된다.

심화 분석

취약점이 영향을 주는 경로(핵심 요지)

NVD/CVE 레코드에는 Linux 커널 crypto 경로에서 “in-place 동작” 관련 변경을 되돌리는 형태의 수정이 언급된다. CERT-EU는 사용자 공간 crypto API(AF_ALG)의 AEAD 소켓 인터페이스에서 문제가 발생하며, 특정 최적화로 인해 의도치 않은 상태가 만들어질 수 있음을 요지로 설명한다. (nvd.nist.gov, cert.europa.eu)

위험도 판단 기준

• 로컬 사용자 범위: SSH 계정이 많거나, 서비스 계정에 쉘 권한이 넓은가
• 컨테이너 밀집도: 노드에 다수 워크로드가 공존하고, 노출면이 넓은가
• setuid/특권 바이너리: 표준 시스템 바이너리/도구의 setuid 구성 여부
• 패치 난이도: 커널 업데이트/재부팅 창 확보 가능 여부

Red Hat 공지는 이 취약점이 로컬 비권한 공격자가 민감 파일을 손상시키거나 root 권한 상승으로 이어질 수 있음을 언급한다. (access.redhat.com)

복구

1) 최우선: 패치된 커널로 업데이트

가장 확실한 해결은 “해결 버전 이상 커널”로 업데이트하는 것이다. 배포판 보안 공지(예: KRCERT/벤더 공지)에 따라 해당 커널 패키지를 업데이트하고 재부팅으로 적용한다.

2) 임시 완화(가능한 경우): 관련 모듈 비활성화

운영상 즉시 재부팅/커널 업데이트가 어려운 경우, 영향 경로가 “모듈 형태”로 로딩되는 환경에서는 임시 완화를 고려할 수 있다. 다만 이는 환경에 따라 적용 가능/불가능이 갈리므로, 반드시 테스트 후 반영한다.

# (가능한 경우) 모듈 언로드 시도
sudo modprobe -r algif_aead 2>/dev/null || true

# 재부팅 후 자동 로딩 방지(블랙리스트)
# /etc/modprobe.d/blacklist-copy-fail.conf
blacklist algif_aead

운영 포인트
모듈 블랙리스트는 “영향 경로를 좁히는 임시 조치”다.
서비스가 AF_ALG/커널 crypto API를 의존할 수 있으므로, 적용 전후 기능 영향(특히 VPN/보안 에이전트/특정 앱)을 반드시 확인해야 한다.

3) 단기 대응 병행: 로컬 실행 권한 축소

• 불필요한 SSH 계정/쉘 접근 정리
• CI 러너/배치 계정 권한 최소화
• 컨테이너 런타임 정책 강화(불필요 capabilities 제거, rootless/격리 강화)

재발 방지

1) 커널 업데이트 운영 표준화

• 정기 패치 창(월간/격주) + 긴급 패치 창(Critical/High) 분리
• 커널 업데이트 후 재부팅 자동화(롤링/블루그린/노드 드레인)
• 호스트 커널 버전/패치 레벨을 자산 목록에 상시 반영

2) “로컬 권한 상승”을 전제로 한 방어선 강화

로컬 LPE는 침투 이후 단계에서 자주 쓰이므로, 운영 환경에서는 “최초 침투 차단”뿐 아니라 “권한 상승 차단”도 같이 설계해야 한다. 예를 들어 세션 격리, 강제 접근통제(SELinux/AppArmor), 최소 권한 원칙을 지속 적용하는 식이다.

3) 점검 자동화 체크

운영 체크리스트

• 노드/서버별 uname -r 수집 및 해결 버전 이상 여부 자동 판정
• 컨테이너 호스트에서 커널 패치 적용률 대시보드화
• 보안 공지 수신 후 24~72시간 내 영향도 평가/조치 계획 생성
• 취약점 스캐너 결과와 “커널 백포트” 차이를 운영 절차로 흡수(벤더 공지 기반 판정)

현장 결론
CVE-2026-31431은 “패치 커널 적용”이 가장 깔끔한 종결책이다.
단기적으로는 모듈 기반 완화(가능 시)와 로컬 실행 권한 축소로 노출면을 줄이고,
장기적으로는 커널 패치/재부팅 자동화 체계를 갖추는 것이 재발 비용을 크게 낮춘다.