리눅스 커널에 포함된 가상머신 소프트웨어 KVM(Kernel-based Virtual Machine)의 심각한 보안 결함이 적발됐다. CVE-2026-53359로 추적되는 이 취약점은 게스트 가상머신이 호스트 시스템의 루트 권한을 획득할 수 있도록 한다.

연구자 김현우가 발견한 이번 결함은 게스트 측 작업만으로도 호스트 시스템을 침해할 수 있다는 점에서 극히 위험하다. 클라우드 플랫폼에서 단일 인스턴스를 임차한 공격자가 호스트 커널을 마비시켜 같은 물리 서버 위의 다른 모든 테넌트 가상머신을 무력화하거나, 호스트 시스템에서 루트 권한으로 코드를 실행해 호스트와 모든 게스트 시스템을 장악할 수 있다. 이 취약점은 AMD와 인텔 프로세서 양쪽에서 작동하는 KVM에 영향을 미친다.

「야누스케이프(Januscape)」로 명명된 이 결함은 메모리 손상 취약점의 일종인 '해제 후 사용(use-after-free)' 유형이다. 섀도우 MMU(Memory Management Unit) 에뮬레이션 과정에서 발생하는데, 이는 호스트 메모리 주소를 하이퍼바이저 메모리 주소로 번역하는 작동 방식에 결함이 있다. 김 연구자는 게스트 가상머신에서 호스트 운영체제 충돌을 유발하는 개념 증명 익스플로잇을 공개했으나, 완전한 게스트 탈출 익스플로잇은 「매우 먼 미래」까지 공개하지 않기로 했다.

이 취약점은 리눅스 커널에서 16년간 발견되지 않았던 것으로 알려졌다.