2주 연속 리눅스 루트 탈취 취약점, 이번엔 익스플로잇 코드까지 유출

3일 만에 무기화된 코드

지난 3일, 누군가 인터넷에 코드 한 덩어리를 올렸다. 그 코드는 리눅스가 설치된 서버에서 가장 낮은 권한을 가진 사용자를 단숨에 최고 관리자(root)로 만들어준다. 어느 리눅스 배포판이든 가리지 않는다. 실행할 때마다 동일하게 작동하며, 서버를 멈추거나 충돌시키지도 않는다. 조용히, 정확하게.

마이크로소프트는 이미 실제 환경에서 해커들이 이 코드를 실험하고 있다는 흔적을 포착했다고 밝혔다. 이 취약점의 이름은 Dirty Frag. 그리고 이것은 2주 안에 등장한 두 번째 치명적 리눅스 루트 탈취 취약점이다.

Dirty Frag가 위험한 세 가지 이유

첫째, 결정론적(deterministic) 익스플로잇이다. 일반적인 해킹 코드는 환경에 따라 성공률이 달라지거나 시스템을 불안정하게 만든다. Dirty Frag는 다르다. 어떤 리눅스 배포판에서 실행해도 동일한 결과를 낸다. 보안 연구자들이 이 특성을 특히 위험하게 보는 이유다.

둘째, 스텔스성이다. 대부분의 공격은 흔적을 남긴다. 서버가 느려지거나, 로그에 이상한 오류가 쌓이거나, 프로세스가 비정상적으로 종료된다. Dirty Frag는 크래시를 유발하지 않는다. 시스템 관리자가 모니터링 대시보드를 들여다봐도 이상 징후를 발견하기 어렵다.

셋째, 공유 환경의 구조적 취약성을 파고든다. 클라우드 서버, 웹 호스팅, 대학 컴퓨팅 클러스터처럼 여러 사용자가 하나의 서버를 나눠 쓰는 환경에서 이 취약점의 위력은 배가된다. 컨테이너나 가상머신 내부의 저권한 사용자도 공격자가 될 수 있다. 즉, 같은 서버를 쓰는 다른 테넌트가 나의 데이터에 접근할 수 있다는 뜻이다.

광고

광고주 모집

[email protected]

광고

더 불편한 사실: 바로 앞 주에도 같은 일이 있었다

Dirty Frag가 더욱 불안하게 느껴지는 맥락이 있다. 불과 지난주, Copy Fail이라는 이름의 취약점이 공개됐다. 역시 리눅스, 역시 루트 권한 탈취, 역시 결정론적이고 스텔스성을 갖춘 익스플로잇이었다. 그리고 Copy Fail에 대한 패치는 아직 일반 사용자에게 배포되지 않았다.

2주 연속 유사한 성격의 치명적 취약점이 등장했다는 것은 단순한 우연이 아닐 수 있다. 보안 커뮤니티 일각에서는 리눅스 커널의 특정 메모리 관리 코드 영역에 구조적 문제가 있을 가능성을 제기하고 있다.

누가, 얼마나 위험한가

리눅스는 전 세계 서버 시장의 압도적 다수를 차지한다. AWS, Google Cloud, Microsoft Azure가 운영하는 클라우드 인프라의 기반이 리눅스다. 국내에서도 네이버 클라우드, 카카오 데이터센터, 금융권 서버 인프라 상당수가 리눅스 위에서 돌아간다.

특히 위험한 시나리오는 두 가지다. 하나는 멀티테넌트 클라우드 환경에서 악의적인 테넌트가 같은 서버의 다른 사용자 데이터를 탈취하는 경우다. 다른 하나는 공격자가 이미 다른 방법으로 서버에 낮은 수준의 접근권을 획득한 상태에서 Dirty Frag를 이용해 완전한 제어권을 확보하는 경우다. 후자는 APT(지능형 지속 위협) 공격의 전형적인 단계 확장 수법이다.

지금 당장 할 수 있는 것

공식 패치 배포 전까지 시스템 관리자들이 취할 수 있는 조치는 제한적이다. 컨테이너 격리 수준을 높이고, 불필요한 사용자 권한을 최소화하며, 커널 수준 로깅을 강화하는 것이 현재로선 최선에 가깝다. 일부 배포판 벤더들은 임시 완화 패치(mitigation patch)를 긴급 배포하고 있으나, 근본적인 수정은 시간이 필요하다.