출처: 데일리시큐(2025.06.19) 리눅스 운영체제에서 일반 사용자 계정으로도 손쉽게 루트(root) 권한을 탈취할 수 있는 심각한 보안 취약점이 발견됐다. 글로벌 보안 기업 퀄리스(Qualys)의 위협연구팀은 최근 공개한 보고서에서 두 개의 취약점을 연쇄적으로 악용하면 거의 모든 주요 리눅스 배포판에서 루트 권한에 도달할 수 있다고 경고했다. 해당 취약점은 각각 CVE-2025-6018과 CVE-2025-6019로 식별된다. ■첫 번째 취약점: PAM 설정 오류 CVE-2025-6018은 SUSE 리눅스 계열의 PAM(Pluggable Authentication Modules) 구성 오류에서 비롯된다. 해당 취약점은 openSUSE Leap 15와 SUSE Linux Enterprise 15에서 발견됐다. 문제의 핵심은 ‘allow_active’라는 정책 설정이다. 이 설정은 원래 물리적으로 시스템 콘솔에 접속한 사용자에게만 권한을 부여해야 하지만, SSH를 통한 원격 로그인 사용자에게도 동일한 권한이 부여되고 있었다. 이로 인해 일반 사용자가 시스템에 로그인하는 것만으로도 관리자 권한을 일부 획득하게 되며, 이는 후속 공격의 기반이 된다. PAM 구성 상의 미흡한 검증이 근본적인 원인이며, 이는 공격자가 추가적인 인증 없이도 특정 작업을 수행할 수 있는 길을 열어준다. ■두 번째 취약점: udisks와 libblockdev의 루트 상승 CVE-2025-6019는 리눅스 시스템에서 디스크 마운트 작업 등을 수행하는 udisks 데몬과 관련된 라이브러리 libblockdev에 존재한다. 이 취약점은 ‘allow_active’ 권한을 보유한 사용자가 udisks를 통해 루트 권한을 획득할 수 있도록 허용한다. 문제는 udisks가 거의 모든 리눅스 배포판에서 기본으로 설치돼 있다는 점이다. 우분투(Ubuntu), 데비안(Debian), 페도라(Fedora), openSUSE 등도 예외가 아니다. 퀄리스는 해당 취약점을 실제로 테스트했고, 우분투 및 다른 주요 배포판에서 몇 초 만에 루트 권한을 획득하는 데 성공했다고 밝혔다. 공격 방식은 간단하다. 먼저 공격자가 SSH를 통해 시스템에 로그인한다. PAM 설정 오류로 인해 자동으로 ‘allow_active’ 권한을 부여받게 된다. 이후 udisks 취약점을 이용해 루트 권한으로 상승한다. 이 연쇄 공격은 복잡한 기술 없이도 누구나 실행할 수 있으며, 시스템 전체를 장악할 수 있는 치명적인 결과로 이어진다. 각 배포판은 긴급 보안 패치를 배포하고 있다. SUSE는 6월 17일 두 취약점에 대한 패치를 공개하고, udisks에 대한 권한 정책을 수정할 것을 권고했다. 우분투는 libblockdev와 polkit 정책을 수정하는 보안 업데이트를 이미 배포했고, 데비안과 페도라 등도 대응을 마쳤거나 진행 중이다. 또한, 일부 배포판은 udisks 정책의 'allow_active'를 'auth_admin'으로 수정해 관리자 인증을 요구하도록 설정을 변경하고 있다. 이는 임시 조치로서, 공격자의 권한 상승을 방지하는 데 효과적이다. 두 취약점은 모두 리눅스의 기본 설정에 포함된 요소들로부터 발생했다. 첫 번째는 pam_env 모듈이 로그인 시 사용자 정의 파일을 과도하게 신뢰하며 불러오는 구조이며, 두 번째는 udisks가 루프백 마운트 작업을 수행할 때 'nosuid'나 'nodev'와 같은 보호 옵션 없이 진행하는 점이 문제다. 이는 과거 PwnKit, Looney Tunables, Sequoia, Baron Samedit 등과 같은 리눅스 권한 상승 취약점과 유사한 구조를 띠고 있다. 기본 구성에 대한 신뢰가 결국 보안 취약점으로 이어질 수 있다는 점을 다시 한 번 보여주는 사례다.

■모든 시스템 즉시 점검 필요 퀄리스의 사이드 아바시(Saeed Abbasi) 연구원은 “이 취약점들은 특수한 조건 없이 누구나 루트 권한을 획득할 수 있게 한다”며, “거의 모든 리눅스 시스템이 기본 상태에서 영향을 받을 수 있으므로, 즉시 패치를 적용하고 구성 상태를 점검해야 한다”고 강조했다. 그는 특히 “루트 권한이 공격자에게 넘어가면 보안 에이전트를 제거하거나 백도어를 설치하는 등 조직 전체에 위협이 된다”며, “단 하나의 미패치 서버로 인해 전체 네트워크가 위험에 빠질 수 있다”고 경고했다. 리눅스 시스템을 운영하는 조직이나 기업이라면 더 이상 ‘기본 설정’에 안심해서는 안 된다. 이번 취약점은 리눅스 운영체제가 제공하는 기본 기능조차 공격자가 악용할 수 있는 문이 될 수 있음을 경고하고 있다. 단순한 사용자 계정으로도 루트 권한에 도달할 수 있는 시대, 보안의 시작은 철저한 패치와 설정 점검에서 출발해야 한다.
제이원아이티(㈜제이원아이티)는 정보보안 컨설팅, 네트워크 인프라 구축, 차세대 보안 솔루션 공급 등을 전문으로 하는 IT 서비스 기업입니다.
|