미국 사이버보안 및 인프라 보안국(CISA)이 최근 발견된 고위험 리눅스 커널 취약점(CVE-2024-53104)에 대해 연방 기관에 3주 이내로 보안 패치를 완료하라는 긴급 지시를 내렸다. 이번 지시는 해당 취약점이 실제 공격에 악용되고 있다는 증거가 확인된 데 따른 것으로, 패치 마감일은 2025년 2월 26일이다.
리눅스 커널 취약점 CVE-2024-53104
CVE-2024-53104는 리눅스 커널의 USB 비디오 클래스(USB Video Class, UVC) 드라이버에서 발생하는 out-of-bounds write 취약점이다. 이 취약점은 uvc_parse_format 함수에서 UVC_VS_UNDEFINED 프레임을 잘못 처리하면서 발생한다. 프레임 버퍼 크기를 잘못 계산하는 과정에서 발생하는 이 취약점은 메모리 경계 밖에 데이터를 쓰게 만들어 시스템 권한 상승으로 이어질 수 있다.
해당 취약점은 2008년에 출시된 커널 버전 2.6.26에서 처음 도입돼 지금까지 다양한 리눅스 배포판과 디바이스에 영향을 주고 있다. 구글(Google)은 안드로이드(Android) 2025년 2월 보안 업데이트를 통해 이 취약점을 패치했으며, “제한적이고 표적화된 공격”이 이미 발생하고 있다는 점을 경고했다.
CVE-2024-53104가 실제로 어떻게 악용되고 있는지에 대한 구체적인 정보는 아직 제한적이지만, 그래피노스(GrapheneOS) 개발팀은 이 취약점이 “포렌식 데이터 추출 도구에서 활용되는 USB 취약점 중 하나일 가능성이 크다”고 밝혔다. 이는 물리적인 접근이 가능한 상황에서 추가적인 실행 권한 없이도 장치의 권한 상승이 가능하다는 점에서 심각한 위협이 될 수 있다.
리눅스 커널 기반의 서버, 데스크톱, 안드로이드 스마트폰 등 다양한 기기가 영향을 받을 수 있으며, 해당 취약점이 악용될 경우 공격자는 시스템에 대한 무단 접근과 제어가 가능해진다.
CISA 긴급 지시 및 대응 방안
CISA는 2021년 11월에 발표한 바 있는 Binding Operational Directive(BOD) 22-01에 따라 이번 취약점을 ‘알려진 취약점 목록(Known Exploited Vulnerabilities Catalog)’에 추가했다. 이에 따라 미국 연방 민간 행정기관(FCEB)은 이번 취약점이 존재하는 리눅스 및 안드로이드 기기를 2월 26일까지 반드시 패치해야 한다.
CISA는 “이러한 유형의 취약점은 악의적인 사이버 공격자들의 빈번한 공격 벡터로 사용되며, 연방 기관의 보안에 심각한 위험을 초래할 수 있다”고 경고했다. 특히 연방 기관뿐만 아니라 민간 기업과 일반 사용자들에게도 취약점 패치를 신속히 적용할 것을 권고했다.
보안 전문가들은 “이번 취약점은 단순한 소프트웨어 버그가 아닌, 물리적 접근과 결합될 경우 치명적인 공격 수단이 될 수 있다”고 지적했다. 또한, “USB 장치와 같은 물리적 인터페이스에 대한 보안 정책 강화와 더불어, 보안 패치 적용을 지연하지 말아야 한다”고 강조했다.
![[팩플]‘정보 수집 거부’ 선택권도 없다…딥시크가 챗GPT보다 위험한 이유 셋](https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/202502/06/2f029694-4b4c-43b1-8c19-3ec5d0bb86d4.jpg)
