우분투 snap에서 루트 권한 탈취 취약점 발견...즉각 패치 필요

[한국정보기술신문] 보안 전문 기업 Qualys의 위협 연구팀(TRU)이 우분투(Ubuntu) 데스크톱 24.04 이상 버전의 기본 설치 환경에서 로컬 공격자가 시스템 최고 권한인 루트(root) 권한을 획득할 수 있는 취약점을 발견해 공개했다. 해당 취약점은 CVE-2026-3888로 등록됐으며, CVSS v3.1 기준 심각도 점수 7.8점을 부여받아 '높음(High)' 등급으로 분류됐다.

이번 취약점은 우분투의 두 가지 표준 시스템 구성 요소인 snap-confine과 systemd-tmpfiles 사이의 의도치 않은 상호작용에서 비롯됐다.

snap-confine은 스냅(snap) 애플리케이션의 샌드박스 실행 환경을 구성하는 바이너리로, 마운트 네임스페이스 격리, AppArmor 정책 로딩, seccomp 필터링 등 커널 수준의 격리를 담당한다. 이를 위해 일반 사용자 권한으로 실행되지만 내부적으로는 루트 권한을 사용한다. systemd-tmpfiles는 /tmp, /run, /var/tmp 등 임시 디렉터리를 관리하며 오래된 파일을 주기적으로 정리하는 역할을 한다.

문제는 systemd-tmpfiles의 정리 주기와 snap-confine의 임시 디렉터리 사용 방식이 맞물리면서 발생한다. Ubuntu 24.04에서는 30일, 이후 버전에서는 10일이 지나면 /tmp/.snap 디렉터리가 자동으로 삭제된다. 공격자는 이 삭제 타이밍을 노려 해당 경로에 악성 페이로드를 심은 디렉터리를 다시 생성할 수 있다. 이후 snap-confine이 샌드박스를 초기화하는 과정에서 해당 디렉터리를 루트 권한으로 바인드 마운트하게 되면, 공격자가 심어 놓은 코드가 루트 권한으로 실행되는 구조다.

이번 취약점의 공격 벡터(AV:L/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H)를 분석하면, 공격자는 시스템에 대한 낮은 수준의 로컬 접근 권한만 있으면 된다. 사용자 개입이나 높은 권한 없이도 공격이 가능하며, 성공할 경우 기밀성, 무결성, 가용성 모두에 높은 영향을 미친다고 Qualys는 설명했다.

다만 CVSS 기준 공격 복잡도는 '높음'으로 평가됐다. 이는 위에서 설명한 시간 기반 조건, 즉 시스템 정리 주기(10일 또는 30일)가 지나야 공격이 가능하다는 제약 때문이다. 그러나 일단 조건이 충족되면 시스템 전체의 완전한 장악이 가능하다는 점에서 위험성이 크다.

Qualys에 따르면 취약점의 영향을 받는 snapd 패키지 버전과 패치 버전은 다음과 같다.

△ Ubuntu 24.04 LTS: snapd 2.73+ubuntu24.04.2 미만 버전 △ Ubuntu 25.10: snapd 2.73+ubuntu25.10.1 미만 버전 △ Ubuntu 26.04 LTS (개발 버전): snapd 2.74.1+ubuntu26.04.1 미만 버전 △ 업스트림 snapd: 2.75 미만 버전

Ubuntu 16.04~22.04 LTS 구버전은 기본 설정 환경에서는 취약하지 않지만, 비기본 설정을 사용하는 경우 유사한 위험이 발생할 수 있어 패치 적용이 권고된다. Qualys는 Ubuntu Desktop 24.04 이상을 운영하는 모든 조직이 즉각 패치를 적용할 것을 강력히 권고했다.

Qualys 연구팀은 이번 CVE-2026-3888 외에도, Ubuntu 25.10 출시 전 사전 검토 과정에서 uutils coreutils 패키지의 rm 유틸리티에서 경쟁 조건(race condition) 취약점을 추가로 발견했다. 이 취약점은 루트 권한으로 실행되는 cron 작업(/etc/cron.daily/apport) 도중 공격자가 디렉터리 항목을 심볼릭 링크로 교체해 임의 파일을 루트 권한으로 삭제하거나 추가 권한 상승을 유도할 수 있는 문제였다.

해당 취약점은 Ubuntu 보안팀과의 협력을 통해 Ubuntu 25.10 공개 출시 전에 선제적으로 조치됐다. Ubuntu 25.10의 기본 rm 명령어는 GNU coreutils로 복구됐으며, uutils 저장소에도 업스트림 수정 사항이 반영됐다.

보안 전문가들은 이번 취약점이 운영체제의 기본 구성 요소 간 상호작용에서 발생했다는 점에 주목하고 있다. 개별 구성 요소가 정상적으로 동작하더라도 구성 요소 간의 결합이 새로운 보안 위협을 만들어낼 수 있음을 보여주는 사례다. 우분투 기반 시스템을 운영하는 관리자라면 snapd 버전을 즉시 확인하고 최신 패치를 적용해야 한다.