단 732바이트의 Python 코드가 전 세계 모든 Linux 머신을 망가뜨렸습니다…

영상: 단 732바이트의 Python 코드가 전 세계 모든 Linux 머신을 망가뜨렸습니다…
채널: Fireship
길이: 4분 47초
출처: 자막 (자동 생성, 영어)

Ubuntu, SUSE, Amazon Linux, 그리고 Red Hat이 Linux 배포판(distros)들만 들어갈 수 있는 바(bar)에 들어갔습니다. 그리고 그들은 모두가 공유하는 철통같은 커널(kernel) 코드에 대해 이야기하며 둘러앉았습니다. 하지만 그때, 난데없이 732바이트짜리 Python 스크립트가 뒷문을 뚫고 들어와 야구 방망이로 그들을 모두 때려눕혔습니다. 지난주, Linux 커널의 심장부에서 100% 신뢰할 수 있는 로직 결함(logic flaw)이 발견되었습니다. 이 결함은 AI 스캐닝 도구가 문제를 표면화하고, 익스플로잇(exploit)을 작성하며, 심지어 이를 위한 화려한 웹사이트까지 설계하기 전까지 2017년부터 그곳에 조용히 자리 잡고 있었습니다. 그리고 이것은 지구상의 거의 모든 Linux 머신, 혹은 적어도 2017년 이후 업데이트된 모든 머신에 영향을 미칩니다. 이는 만약 당신이 Linux 서버를 운영하거나, 데스크톱에서 Linux를 사용하는 상위 3%의 진정한 능력자라면, 당장 어제라도 업데이트를 마쳤어야 한다는 것을 의미합니다. 제가 몇 주 전에 만든 이 영상을 본 스크립트 키디(script kitty)라면, Metasploit 같은 도구를 사용하여 당신의 머신을 쉽게 제어할 수 있습니다. 농담이 아닙니다. CrowdStrike는 이미 공격자들이 실제 환경(in the wild)에서 이 스크립트를 사용하고 있음을 확인했으며, CISA는 이미 이를 악명 높은 Known Exploited Vulnerabilities (Kev) 목록에 올렸습니다. 오늘 영상에서는 copy-fail, CVE-2026-31431의 기술적 세부 사항을 살펴보고, 왜 Linux가 형편없으며 왜 오직 Microsoft Windows만을 사용해야 하는지 알아보겠습니다. 오늘은 2026년 5월 4일이며, 여러분은 The Code Report를 시청하고 계십니다. 개인적으로 저는 Linux를 사랑하지만, 저의 사모펀드 일루미나티 관리자들은 내러티브를 통제하고 Windows 판매량을 늘리기 위해 저에게 Linux가 형편없다고 말하길 원합니다. 하지만 정말 미친 점은, 암시장(gray market)에서 보편적인 Linux 권한 상승(privilege escalation)의 시세가 미화 10,000달러에서 700만 달러 사이라는 것입니다. 그리고 이것은 CrowdStrike의 현상금 가격 책정을 기반으로 한 것입니다. 하지만 며칠 전, 한 AI 에이전트가 약 1시간의 스캔 시간 만에 이를 찾아냈습니다.

이 AI 기반 해커를 만든 회사인 And Theory는 개념 증명 (Proof of Concept, PoC)을 공개 인터넷에 무료로 배포했습니다. 이 익스플로잇 (Exploit)은 Linux 커널 (Kernel)을 직접 타겟팅하며, 사안이 매우 중대하여 전용 웹사이트까지 만들 정도였습니다. 처음에는 사람들이 단순히 과장된 AI 쓰레기 (AI slop)일 것이라며 회의적인 반응을 보였으나, 이후 Linux 커널 팀에 의해 확인되었으며 2015년과 2017년의 평범해 보이는 몇몇 커밋 (Commit)들로 거슬러 올라가는 것으로 추적되었습니다. 하지만 가장 무서운 점은 모든 Linux 배포판 (Distro)이 영향을 받는다는 것입니다. Debian, Arch, Red Hat 등 무엇이든 말만 하세요. 2017년 이후의 커널 코드가 포함되어 있다면 지금 당장 업데이트해야 합니다. 이제 이것이 실제로 어떻게 작동하는지 알아봅시다. 이를 이해하기 위해, 이 작은 Python 스크립트에 담긴 가공되지 않은 익스플로잇 코드를 살펴보겠습니다. 이 코드가 할 수 있는 일은 권한이 없는 로컬 사용자 (Unprivileged local user)가 Linux 시스템의 읽기 가능한 모든 파일의 페이지 캐시 (Page cache)에 제어되지 않는 4바이트를 작성할 수 있게 하여, 이를 통해 루트 (Root) 권한을 획득하는 것입니다. 여기서 주목할 점은 이 코드가 Linux의 auth ink ESN, 즉 인증 암호화 확장 시퀀스 번호 (Authentication encryption extended sequence numbers)라고 불리는 무언가에 의존한다는 것입니다. 이것이 정확히 무엇을 하는지 이해할 필요는 없지만, 중요한 부분은 이것이 커널의 암호화 알고리즘을 사용자 공간 (User space)에 노출하는 Linux의 AF_ALG 인터페이스 뒤에 존재한다는 점입니다. 하지만 auth ink ESN에는 암호화 출력 버퍼 (Crypto output buffer)라고 생각되는 곳에 4바이트의 임시 데이터를 쓰는 이상한 내부 동작이 있습니다. 그런데 AF_ALG splice 함수의 버그로 인해, 해당 출력 버퍼가 실수로 읽기 전용 파일의 페이지 캐시를 가리킬 수 있습니다. 이 Python 스크립트에서처럼, 읽기 전용 /etc/sudoers 파일(SU file)을 가리키게 됩니다. 이는 정말 심각한 문제인데, sudo는 모든 Linux 배포판에 존재하며 루트 사용자로 명령을 실행할 수 있게 해주기 때문입니다. 다행인 점은 이 취약점이 원격으로 익스플로잇 (Exploit)할 수는 없다는 것입니다. 즉, 이를 실행하려면 Linux 머신의 일반 사용자여야 하거나, 공격자가 SSH 또는 다른 침해된 애플리케이션을 통해 시스템에 발판을 마련해야 한다는 의미입니다.

이는 여러분의 Arch 기반 노트북은 아마 안전하겠지만, 어쨌든 패치(patch)를 해두는 것이 좋은 생각이라는 의미입니다. 하지만 이 취약점(exploit) 자체보다 더 미친 점은 이것이 어떻게 발견되었는가 하는 점입니다. 제가 언급했듯이, 이것은 AI 에이전트(AI agent)에 의해 발견되었으며, 기본적으로 그들은 "splice가 읽기 전용 파일의 페이지 캐시 참조(page cache references)를 crypto TX scatter lists로 전달할 수 있으니 확인해 봐"라는 프롬프트(prompt)를 주었을 뿐입니다. 그리고 지구상의 모든 Linux 머신을 완전히 장악(borg)하는 데 단 1시간의 스캔 시간만이 걸렸습니다. 이러한 AI 해커들은 이제 그 어느 때보다 우리의 AI 코딩 에이전트(AI coding agents)가 가능한 최고의 품질의 코드(Slack/code)를 작성해야 한다는 것을 가르쳐 주고 있습니다. 그리고 이를 도와줄 수 있는 도구 중 하나가 오늘 영상의 스폰서인 Code Rabbit입니다. 그들은 방금 Slack을 위한 Code Rabbit 에이전트를 출시했는데, 이를 통해 팀원들이 Slack 채널 내에서 전체 개발 워크플로(development workflow)를 관리할 수 있는 에이전트를 가질 수 있습니다. 먼저 GitHub 및 Sentry와 같은 팀의 도구들을 연결한 다음, 이를 하나의 범위(scope)로 묶어 에이전트에 운영 컨텍스트(operating context)를 제공합니다. 그런 다음 어떤 문제가 발생할 때마다 Slack 채널에서 Code Rabbit을 @mention 하면, 에이전트가 관련 트레이스(traces)를 가져와 문제를 찾고, 수정 사항이 담긴 풀 리퀘스트(pull request)를 생성하며, Slack을 떠날 필요 없이 작업이 완료되면 여러분에게 알림을 보냅니다. 또한 모든 결정 사항과 풀 리퀘스트를 팀의 지식 베이스(knowledge base)에 추가하므로, 에이전트가 시간이 지남에 따라 팀의 워크플로에 대해 더 똑똑해질 수 있습니다. 아래 링크에서 무료로 체험해 보세요. 추가로 50달러의 무료 크레딧을 받을 수 있습니다. 지금까지 Code Report였습니다. 시청해 주셔서 감사하며, 다음 영상에서 뵙겠습니다.