리눅스 커널 보안 취약점, 발견 2년 후에도 여전히 악용 중
미국 사이버보안 및 인프라 보안국(CISA)는 17일(현지 시각) 보안 취약점 ‘CVE-2023-0386’을 ‘알려진 악용 취약점(Known Exploited Vulnerabilities; KEV)’ 목록에 추가했다. KEV는 공개 취약점 중 실제 악용이 활발히 이뤄지는 것으로, 여기에 포함되면 빠르게 패치가 이뤄져야 한다.
이 취약점은 리눅스 커널 6.2 미만 버전에서 오버레이FS(OverlayFS) 시스템에서 인가되지 않은 사용자도 관리자 권한을 획득할 수 있도록 허용한다. 오버레이FS는 권한이 다른 여러 폴더를 하나로 겹쳐서 하나처럼 보이게 만드는 기능이다. 도커(Docker) 같은 컨테이너 환경에서 다양한 파일을 관리하는 데 쓰인다.
해당 취약점 때문에 오버레이FS는 악성 바이너리를 복사하는 과정에서 권한 검증을 생략한다. 이를 통해 공격자는 시스템의 모든 파일에 접근할 수 있는 권한을 획득한다.
CVE-2023-0386은 취약점 패치가 공개된 지 2년이 지났다. 2023년 1월 리눅스 소스 트리에서 취약점 패치가 이뤄졌고, 그로부터 2개월 뒤 대외적으로 공개됐다. 하지만 2025년에도 공격자들이 취약점을 적극적으로 악용할 만큼 충분한 대응이 이뤄지지 않고 있었다.
이 문제는 리눅스 커널 생태계 구조와 연결된다. 리눅스 커널은 메인라인-안정화-배포판 순으로 패치가 이뤄진다. 신규 기능과 버그 수정이 가장 먼저 반영되는 메인라인에서 취약점을 보완해도 그 후 테스트 과정을 거친 뒤에야 실제 사용하는 OS까지 적용된다. 따라서 우분투(Ubuntu), 데비안(Debian) 등 배포판까지 보안 패치가 도달하는 데는 수개월이 소요될 수 있다.
더군다나 리눅스 커널 패치는 전통적으로 시스템 재부팅을 수반한다. 이 과정에서 대기 시간과 다운타임이 발생할 수 있어 관리자들은 여러 패치를 모아 한 번에 적용하거나 몇 달씩 업데이트를 미루기도 한다. 이 같은 리눅스의 특징이 오랜 기간 사이버 공격에 악용되는 원인이 된다.
보안업계 관계자는 “패치 관리 시스템(PMS)으로 업데이트를 관리하는 기업도 있지만 중소·중견기업이나 제조 분야에서는 여러 이유로 보안 패치가 원활히 이뤄지지 못한다”며 “공격자들은 이러한 약점을 노리고 몇 년 전에 공개된 보안 취약점을 악용하기도 한다”고 설명했다.
이어 이 관계자는 “침입 방지 시스템(IPS) 등을 도입합으로써 공격을 막을 수 있으나, 궁극적으로는 정기적인 패치 등 기업 차원에서 지속적인 관리가 필요하다”고 덧붙였다.
이 글이 문제 시 삭제 처리 하겠습니다.
출처 : http://www.itdaily.kr/news/articleView.html?idxno=233741
