리눅스 커널을 뒤흔든 최신 페이지 캐시 취약점 분석: Copy Fail 및 Dirty Frag

최근 리눅스 커널의 권한 상승(LPE) 취약점 트렌드는 과거 2022년 발견된 Dirty Pipe의 메커니즘을 한 단계 더 정교하게 발전시킨 형태를 띠고 있습니다.

특히 2026년 5월 현재, 주요 리눅스 배포판(Ubuntu, RHEL, Rocky Linux 등) 전체에 영향을 미치는 치명적인 취약점들이 연이어 공개되면서 시스템 관리자들의 즉각적인 패치가 요구되는 상황입니다. 이번 글에서는 최근 발견되어 활발히 익스플로잇되고 있는 Copy Fail과 Dirty Frag 취약점의 핵심을 분석합니다.

1. Copy Fail 취약점 (CVE-2026-31431)
   2026년 봄에 발견되어 실제 공격(In the wild)에 악용되고 있음이 확인된 치명적인 논리 버그입니다.

핵심 메커니즘: 리눅스 커널의 암호화 템플릿 중 하나인 authencesn 및 algif_aead 구성 요소에서 발생한 로직 오류입니다. 일반 권한을 가진 로컬 사용자가 메모리 상에서 제어 가능한 4바이트 데이터를 시스템에 존재하는 임의의 읽기 가능 파일의 페이지 캐시(Page Cache)에 강제로 써넣을 수(Write primitive) 있는 결함입니다.

위협 요소: 공격자는 커널이 메모리에 올려놓은 권한 관련 파일 데이터에 결정론적인 수정을 가함으로써 인증 과정을 우회하고 최고 관리자(root) 셸을 획득할 수 있습니다.

2. Dirty Frag 취약점 (CVE-2026-43284 / CVE-2026-43500) 및 변종 Fragnesia (CVE-2026-46300)
   2026년 5월 초 마이크로소프트 보안 연구소와 글로벌 보안 업체들을 통해 긴급 공개된 취약점 패키지입니다. 앞서 언급한 Copy Fail의 원리를 네트워킹 서브시스템과 결합하여 공격의 성공 신뢰도를 폭발적으로 끌어올린 형태이며, 일명 'Copy Fail 2'라고도 불립니다.

핵심 메커니즘: 리눅스 커널의 IPsec 수신 경로인 xfrm-ESP 모듈(CVE-2026-43284)과 RxRPC 네트워크 모듈(CVE-2026-43500) 두 영역의 페이지 결합(Splice) 버그를 체인 형태로 엮어 공격합니다. IPsec 암호화 통신을 처리하는 과정에서 버퍼 메모리가 스플라이스된 페이지에 직접 복호화되는데, 공격자가 이 바이트 스트림을 정교하게 제어할 수 있게 됩니다.

최신 변종 Fragnesia (CVE-2026-46300): Dirty Frag 공개 직후인 2026년 5월 중순에 새롭게 발견된 변종 취약점입니다. 서로 다른 커널 버그를 경유하지만, 최종적으로는 동일하게 리눅스의 페이지 캐시 동작을 왜곡하여 루트 권한을 확보하는 특징을 보입니다.

위협 요소: 해당 모듈들은 대부분의 엔터프라이즈 리눅스 배포판(RHEL 8/9/10, Rocky Linux 8/9, Ubuntu 24.04 등)에 기본적으로 탑재되어 있어 파급력이 매우 큽니다. 공격자가 컨테이너 내부 환경에 침투한 상태라면, 이 결함을 통해 호스트 커널을 오염시켜 컨테이너 탈옥(Container Escape) 후 호스트 서버를 통째로 점거할 수 있습니다.

3. 우리 시스템의 취약점 확인 및 대응 방안
   이 취약점들은 2026년 5월 현재 보안 권고가 실시간으로 업데이트되고 있는 시급한 사안입니다.

대응 1: 긴급 보안 커널 업데이트
각 벤더사(Red Hat, Rocky, Ubuntu 등)의 업스트림 패치가 빠르게 릴리스되고 있습니다. 테스트 환경 검증 후 서버 커널을 즉시 업데이트하고 재부팅해야 합니다.

Bash

Rocky Linux / RHEL 계열 보안 업데이트

sudo dnf upgrade --security -y
sudo reboot

Ubuntu 계열 보안 업데이트

sudo apt update && sudo apt --only-upgrade install linux-image-generic -y
sudo reboot
대응 2: 취약 네트워크 모듈 일시 차단 (임시 완화 조치)
운영 환경상 당장 커널 패치와 재부팅이 불가능하다면, Dirty Frag의 공격 경로가 되는 세 가지 커널 모듈(esp4, esp6, rxrpc)을 블랙리스트에 등록하여 로드되지 않도록 강제 차단해야 합니다.

터미널에서 아래 명령을 통합 실행하여 임시 조치를 적용합니다.

Bash
sudo sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf"
sudo rmmod esp4 esp6 rxrpc 2>/dev/null
주의: 이 조치는 내부망 가상 사설망(VPN) 환경에서 IPsec 통신을 사용하거나 AFS 기반 스토리지 환경을 사용하는 서버의 경우 기능 장애를 유발할 수 있으므로 영향도를 사전에 평가해야 합니다.

대응 3: 보안 컨텍스트 강화
취약점 익스플로잇 코드가 작동하려면 최초에 일반 사용자 계정이나 웹셸(Web-shell) 등을 통해 로컬 접근 권한을 확보해야 합니다. SSH 접근 경로를 최소화하고, SELinux를 반드시 Enforcing 모드로 운영하여 비정상적인 커널 메모리 접근 및 프로세스 변조 행위를 격리해야 합니다.

4. 결론
   과거의 Dirty Pipe가 파일 캐시 변조의 가능성을 열었다면, 최신 발견된 Copy Fail과 Dirty Frag 계열 취약점들은 시스템 네트워크 레이어와 결합하여 한층 더 정교하고 파괴적인 형태로 발전했습니다.

단순히 외부 방화벽을 쳐두는 것만으로는 내부 컨테이너나 로컬 사용자의 권한 상승을 막을 수 없으므로, 인프라 운영자분들은 즉시 자사 서버의 커널 버전과 CVE-2026-43284 등의 패치 적용 여부를 확인하시기 바랍니다.