비밀번호 없이 루트 권한 얻을 수 있어... 일반 사용자가 시스템 패키지 설치하고 삭제 가능
[보안뉴스 김형근 기자] 도이치 텔레콤 레드팀이 리눅스의 패키지 관리 계층인 ‘패키지킷’(PackageKit)에서 비밀번호 없이 루트 권한을 얻을 수 있는 취약점을 발견했다.
[출처: gettyimagesbank] ‘팩투더루트(Pack2TheRoot)’로 명명된 이 결함은 ‘CVE-2026-41651’로 등록됐으며, 일반 사용자가 시스템 패키지를 마음대로 설치하거나 삭제할 수 있어, 보안 침해를 유발할 수 있다.
이 취약점은 2014년부터 배포된 패키지킷 1.0.2부터 최신 버전까지 12년 동안의 모든 릴리스에 교묘하게 잠복해 있었던 것으로 드러났다. 데비안(Debian), 우분투(Ubuntu), 페도라(Fedora) 등 주요 리눅스 배포판의 기본 설치본이 모두 타깃이며, 서버 관리 도구인 칵핏(Cockpit) 실행 서버도 위험에 노출됐다.
연구진은 인공지능 도구인 클로드 오퍼스(Claude Opus)를 활용해 조사 속도를 높였으며, 단 몇 초 만에 루트 권한을 획득하는 치밀한 ‘공격 개념 증명’(PoC)에 성공했다. 공격자가 패키지킷 데몬을 충돌시키는 방식으로 침투하기 때문에, 관리자는 로그에서 ‘pk-transaction.c:514’ 구절을 찾아 공격 시도를 정밀하게 파악해야 한다.
이미 공격 도구가 작동하는 것이 확인된 만큼, 공격자가 보안 구성 요소를 제거하기 전에 시스템 관리자들의 패치 적용이 요구된다. 패키지킷 개발팀은 결함을 수정한 1.3.5 버전을 바로 출시했으며, 주요 배포판 사용자들은 배포처에서 제공하는 보안 업데이트를 실행해야 한다.
리눅스 생태계의 핵심 관리 도구에서 12년 동안이나 발견되지 않은 중대한 설계 결함이 터져 나온 것은, 오픈소스 안보 검증 체계가 얼마나 취약할 수 있는지 보여주는 사례다. 특히 패키지킷처럼 광범위하게 쓰이는 도구의 결함은 수많은 서버와 데스크탑을 공격자들의 놀이터로 전락시킬 수 있는 심각한 위협이다.
