CopyFail, 취약점 공개 시점과 책임 소재를 둘러싼 개발자들의 격론

커뮤니티에서는 CopyFail 취약점 공개 과정에서 배포판에 사전 고지가 이루어지지 않은 점을 지적하며, 취약점 보고자(Reporter)가 모든 배포판과 직접 소통해야 하는지에 대한 의문을 제기했다. Linux 커널 프로젝트(Linux Kernel Project) 내에서 보안 취약점 관련 책임과 권한을 가진 주체가 배포판에 알림을 제공해야 한다는 의견이 제시되었으며, 이는 보안 취약점 공개 프로세스(Vulnerability Disclosure Process)의 개선 필요성을 시사한다.

GranPC는 eBPF(Extended Berkeley Packet Filter) 기반의 임시 해결책을 제시하며, AF_ALG가 커널 모듈로 링크되지 않은 환경에서 공격을 완화할 수 있다고 밝혔다. 이는 취약점 패치(Vulnerability Patch)가 배포되기 전까지 시스템의 보안(Security)을 유지하기 위한 실질적인 방안으로, eBPF의 유연성을 활용한 보안 강화(Security Hardening) 사례로 볼 수 있다.

KingMachiavelli는 SUID(Set User ID) 바이너리의 안전한 사용을 위해 nosuid 및 nodev 파일 시스템 마운트 옵션을 기본값으로 설정할 것을 제안했다. 또한, SUID 바이너리(SUID Binary)의 접근 권한을 제한하여 악의적인 코드 실행 가능성을 줄이는 방안을 제시했다. 이는 권한 관리(Privilege Management)를 통해 시스템의 공격 표면(Attack Surface)을 줄이는 효과적인 방법이다.

일부 사용자는 이미 Ubuntu에서 패치가 배포되었음을 보고했으며, 커널 7.0 버전에서는 해당 취약점의 영향을 받지 않는다고 밝혔다. 이는 패치 적용(Patch Application)의 시급성을 보여주는 동시에, 커널 버전(Kernel Version)에 따른 취약점 영향 범위(Vulnerability Impact Scope)를 파악하는 것이 중요함을 시사한다. 또한, initcall_blacklist를 활용한 추가적인 완화 방법도 언급되었다.