[보안뉴스 김형근 기자] 리눅스 커널에서 일반 사용자가 시스템의 최고 권한을 가로챌 수 있는 핵심 보안 결함에 대한 구체적인 공격 실행 코드(PoC)가 공개됐다.

미국의 보안 연구 기업인 젤릭(Zellic)과 V12 보안 팀은 이 결함을 발견해 리눅스 관리자들에게 보고한 뒤, 공식 수리 프로그램이 나오자 해당 공격 코드를 인터넷에 공개했다.


[출처: gettyimagesbank]

‘더티디크립트’(DirtyDecrypt)로 명명된 이번 취약점은 데이터가 바뀔 때 복사본을 만들어 원본을 보호하는 메모리 안전 장치인 ‘카피온라이트’(COW) 기능이 빠져 발생했다.

이 핵심 안전장치가 누락돼 해커가 시스템 비밀번호를 관리하는 핵심 파일의 메모리 영역에 가짜 데이터를 강제로 입력하고, 최고 관리자 권한을 손쉽게 가로채는 통로가 열렸다.

이번 위험은 특정 보안 설정(CONFIG_RXGK)을 활성화한 페도라(Fedora), 아치 리눅스(Arch Linux), 오픈수세(openSUSE) 등의 주요 리눅스 운영체제에 직접적인 영향을 미친다.

특히 가상화 기업들이 널리 쓰는 컨테이너 환경의 경우, 취약한 리눅스를 실행하는 작업 노드가 공격을 받으면 개별 분리 공간을 탈취해 탈출하는 경로로 악용될 수 있다.

전문가들은 이번 결함이 최근 연쇄적으로 발견된 카피 페일(Copy Fail)이나 프래그네시아(Fragnesia) 등 최고 권한을 넘겨주는 보안 허점들과 같은 계열의 변종이라고 진단했다.

최근 몇 주 사이에 리눅스 커널의 핵심 비밀 키를 훔쳐내는 등 심각한 보안 구멍들이 연이어 노출되면서, 리눅스 생태계 전체의 안전망이 크게 흔들리고 있다.

사태가 급박해지자 리눅스 커널 개발자들은 결함이 발견된 특정 기능을 패치가 나오기 전이라도 즉시 멈추게 하는 긴급 비상 스위치(Killswitch) 도입 조치를 검토하기 시작했다.

로키 리눅스(Rocky Linux) 진영은 상위 공식 패치가 나오기 전이라도 위험한 보안 결함에 즉각 대응할 수 있도록 선택형 긴급 보안 저장소를 별도로 신설했다.

이번 사건은 오픈소스 리눅스 진영의 취약점 관리 실태를 드러냈다. 시스템 관리자들은 자사 서버가 해킹 표적이 되기 전에 즉시 시스템을 업데이트해야 한다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>