카스퍼스키가 리눅스 커널 취약점 ‘Copy Fail(CVE-2026-31431)’에 대한 분석 보고서를 공개하고, 파일 변경 없이 루트 권한 탈취가 가능할 수 있다고 경고했다. 해당 취약점은 디스크상의 파일은 그대로 둔 채 메모리 캐시만 변조하는 방식으로 동작해 기존 파일 무결성 검사나 엔드포인트 보안 체계로 탐지하기 어렵다는 점이 특징이다.

카스퍼스키는 5월 7일 서울에서 발표한 보고서를 통해 Copy Fail이 리눅스 커널 암호화 서브시스템의 버퍼 처리 오류에서 비롯됐다고 설명했다. 이 취약점은 AF_ALG 인터페이스와 splice() 시스템 호출을 조합해 악용될 수 있으며, 공격자는 메모리 상의 일부 값을 조작해 setuid 실행 파일의 동작을 바꿀 수 있다.

공격이 성공하면 디스크에 저장된 파일은 변하지 않지만, 실행 시 메모리에서 변조된 코드가 동작하면서 루트 권한으로 이어질 수 있다. 이 때문에 파일 변경 여부를 기준으로 위협을 판단하는 보안 방식으로는 공격 흔적을 확인하기 어렵다.

다만 해당 취약점은 원격에서 단독으로 악용되는 유형은 아니다. 공격자가 이미 시스템 내부 접근 권한을 확보한 뒤 권한 상승 단계에서 활용할 가능성이 크다. 특히 컨테이너 환경에서는 호스트 커널 모듈 접근 조건에 따라 컨테이너 경계를 넘어 영향이 확대될 수 있어 주의가 필요하다.

대응을 위해서는 커널 업데이트가 우선이다. 다만 운영 환경에서는 재부팅과 사전 검증이 필요한 경우가 많아 즉각 적용이 어려울 수 있다. 이 경우 취약 모듈 비활성화와 함께 EDR, SIEM을 활용한 행위 기반 탐지가 병행돼야 한다.

카스퍼스키는 Python 프로세스에서 셸 실행 후 권한 상승 명령이 이어지는 흐름, 비정상적인 UID 변화, SUID 바이너리 접근 이후의 시스템 호출 등을 주요 탐지 지표로 제시했다. 이번 사례는 파일 기반 탐지만으로는 메모리 중심 공격을 충분히 식별하기 어렵다는 점을 보여준다.