리눅스 커널의 핵심 기능 중 하나인 epoll 서브시스템에서 'Bad Epoll'(CVE-2026-46242)이라는 치명적인 경쟁 조건(race condition) 취약점이 발견되었습니다. 이 취약점은 비권한 프로세스가 리눅스 데스크톱 및 서버 환경뿐만 아니라 안드로이드(Android) 기기에서도 최고 권한인 루트(root) 권한을 획득할 수 있게 해 심각한 보안 위협으로 평가됩니다. 해당 취약점은 Jaeyoung Chung 연구원이 구글 커널CTF(kernelCTF)에 제로데이(0-day)로 제출하며 보고 및 익스플로잇(exploit)되었습니다.
'Bad Epoll'은 epoll 서브시스템의 사용 후 해제(use-after-free, UAF) 버그로, 두 개의 epoll 종료 경로가 동시에 실행될 때 충돌하며 발생합니다. 한 경로가 객체를 해제하는 동안 다른 경로가 해당 객체에 계속 접근하여 데이터를 조작할 수 있게 되는 것입니다. 특히 이 취약점은 구글 커널CTF에서 익스플로잇된 약 130개 취약점 중 안드로이드 루팅(rooting)으로 이어질 수 있는 10여 개 사례 중 하나로, 안드로이드 기기에 미치는 영향이 매우 크다는 점에서 위험성이 부각됩니다. 또한 크롬 렌더러 샌드박스(Chrome renderer sandbox) 내부에서도 트리거될 수 있어, 브라우저 취약점과 연계될 경우 커널 코드 실행으로 이어질 가능성도 있습니다. 이 버그는 2023년 4월 8일 커밋(commit) 58c9b016e128에서 도입되었으며, 2026년 4월 24일 커밋 a6dc643c6931으로 수정되었습니다. v6.4 이상 기반 커널을 사용하는 배포판 중 아직 패치가 적용되지 않은 시스템이 영향을 받을 수 있습니다.
이 취약점의 심각성은 epoll이 운영체제, 네트워크 서비스, 브라우저 등 핵심 시스템이 의존하는 코어 커널 기능이므로 비활성화할 수 없다는 점에 있습니다. 따라서 단순한 우회책 없이 오직 패치 적용만이 유일한 해결책입니다. 이는 많은 리눅스 기반 시스템과 안드로이드 기기 사용자들이 신속한 업데이트를 통해 보안을 강화해야 함을 의미합니다. 또한, 앤트로픽(Anthropic)의 AI 모델인 미토스(Mythos)가 같은 epoll 코드에서 다른 경쟁 조건 버그(CVE-2026-43074)를 발견했지만, 'Bad Epoll'은 놓쳤다는 사실은 이러한 유형의 버그 탐지가 얼마나 어려운지를 보여줍니다. 개발자와 사용자 모두에게 커널 보안 업데이트의 중요성을 다시 한번 상기시키는 사례입니다.