CVE-2024-1086 취약점: 랜섬웨어 공격에서 악용된 Linux 커널의 심각한 권한 상승 결함
보고 직후 CVE-2025-59287, WSUS 시스템에서 발견된 중요한 RCE 결함이 야생에서 악용된 후, 또 다른 높은 심각도의 Linux 커널 결함이 랜섬웨어 공격에서 적극적으로 무기화되는 것이 관찰되었습니다. CISA는 이 결함의 악용을 확인하며, CVE-2024-1086를 악성 캠페인에서 악용하면 로컬 접속을 가진 공격자가 영향받은 시스템에서 루트 권한을 얻을 수 있다고 경고했습니다.
연속 3년째, 악용되는 취약점은 랜섬웨어 공격의 가장 일반적인 기술적 근본 원인으로 남아 있으며, The State of Ransomware 2025 보고서에 따르면, 사건의 32%가 이에 해당됩니다. 랜섬웨어 그룹은 기업 시스템에의 주 진입점으로 소프트웨어 결함을 점점 더 활용하고 있으며, 소셜 엔지니어링과 도난된 자격 증명도 주요한 역할을 계속하고 있습니다. 올해에만 NIST에 의해 40,000개 이상의 새로운 취약점이 기록되었고, 조직은 이러한 결함을 능동적으로 식별하고 해결하는 것이 공격 표면을 줄이고 점점 복잡해지는 랜섬웨어 위협으로부터 방어하는 데 필수적입니다.
SOC Prime 플랫폼에 가입하여 실시간 사이버 위협 인텔리전스를 제공하는 전 세계 활성 위협 피드에 접근하세요. 모든 규칙은 다양한 SIEM, EDR, 및 데이터 레이크 형식과 호환되며 MITRE ATT&CK® 프레임워크에 매핑됩니다. 또한 각각의 규칙은 CTI 링크, 공격 타임라인, 감사 구성, 분류 추천 및 기타 관련 컨텍스트로 보강됩니다. 전체 탐지 스택을 보려면 탐지 탐색 버튼을 눌러 “CVE” 태그로 필터링된 치명적인 취약점에 대한 능동적인 방어책을 확인하세요.
추가적으로, 사이버 방어자는 랜섬웨어 공격을 다루는 정리된 탐지 스택으로 방어를 강화할 수 있습니다. 적절한 탐지 콘텐츠를 Threat Detection Marketplace에서 “랜섬웨어” 태그를 사용하여 검색하세요.
보안 엔지니어는 또한 Uncoder AI, 탐지 엔지니어링을 위한 IDE 및 보조 파일럿을 활용할 수 있습니다. Uncoder를 사용하면 방어자는 IOC를 즉시 사용자 지정 탐색 쿼리로 변환하고, 원시 위협 보고서에서 탐지 코드를 작성하고, Attack Flow 다이어그램을 생성하고, ATT&CK 태그 예측을 가능하게 하며, AI 기반 쿼리 최적화를 이용하고, 여러 플랫폼에서 탐지 콘텐츠를 번역할 수 있습니다.
CVE-2024-1086 분석
CISA는 최근 CVE-2024-1086라는 치명적인 Linux 커널 결함에 대한 긴급 경고를 발표했습니다. 이 치명적인 use-after-free 버그(CVSS 점수 7.8)는 netfilter: nf_tables 구성 요소 내에 숨겨져 있어 로컬 접근을 가진 공격자가 영향받은 시스템에서 루트 권한을 얻고 잠재적으로 랜섬웨어를 배포할 수 있게 하며, 이는 전 세계 기업 시스템에 심각한 방해를 초래할 수 있습니다.
이 결함은 2024년 1월에 공개되었고 패치되었지만, 2014년에 도입된 코드에서 비롯되었습니다. 이 결함은 CISA의 알려진 악용된 취약점(KEV) 목록에 추가되었으며 2024년 5월 30일에, 그리고 2025년 10월 말에, CISA는 이 취약점이 랜섬웨어 캠페인에서 적극적으로 사용되고 있음을 확인하는 알림을 발표했습니다. 특히, PoC(Proof-of-Concept) 익스플로잇은 2024년 3월부터 사용할 수 있으며, “Notselwyn”이라는 별명을 사용하는 연구자가 GitHub에 CVE-2024-1086 PoC를 게시하여Linux 커널 5.14에서 6.6까지의 로컬 권한 상승을 시연했습니다.
이 취약점을 악용하면 공격자는 보안 통제를 우회하고, 관리자 접근을 얻고, 네트워크 전반에 걸쳐 수평 이동할 수 있습니다. 일단 루트 권한을 얻으면, 랜섬웨어 운영자는 엔드포인트 보호를 비활성화하고, 중요한 파일을 암호화하고, 민감한 데이터를 추출하며, 지속적인 접근을 수립할 수 있습니다.
패킷 필터링 및 네트워크 주소 변환을 담당하는 netfilter 하위 시스템은 이 취약점을 네트워크 트래픽을 조작하거나 보안 메커니즘을 약화시키려는 공격자에게 특히 유용하게 만듭니다. 일반적으로, CVE-2024-1086는 공격자가 피싱, 도난된 자격증, 또는 인터넷에 노출된 취약점을 통해 초기 발판을 획득한 후에 악용되며, 제한된 사용자 접근을 완전한 관리자 제어로 전환합니다.
CISA의 “랜섬웨어 캠페인에서 사용되는 것으로 알려진 취약점”으로 CVE-2024-1086를 분류함은 그 심각성을 강조하고 조직이 패치 배포를 확인하고 Linux 환경 전반에 완화 조치를 구현해야 할 긴급 필요성을 보여줍니다.
CVE-2024-1086의 잠재적인 완화 조치로 공급업체는 비권한 사용자의 네임스페이스 생성을 비활성화할 것을 권장합니다. 일시적으로 끄려면 sudo sysctl -w kernel.unprivileged_userns_clone=0 을 실행하는 것이 권장되며, echo kernel.unprivileged_userns_clone=0 | sudo tee /etc/sysctl.d/99-disable-unpriv-userns.conf 을 실행하면 재부팅 후 영구적인 변경이 됩니다.
역량을 향상시키는 능동적 사이버 방어 전략은 조직이 취약점 악용의 위험을 효과적이고 신속하게 줄이는 데 중요합니다. SOC Prime의 완전한 제품군을 활용함으로써 기업용 보안 보호를 위해 최고 수준의 사이버 보안 전문 지식과 AI로 뒷받침되는 전 세계 조직은 사이버 방어를 미래에 대비하고 사이버 보안 상태를 강화할 수 있습니다.
