우분투(Ubuntu) 최신 소식 총정리 — 26.04 LTS 신기능부터 Dirty Frag 커널 패치, 25.10 EOL까지

2026년 7월 첫째 주, 우분투 진영에서 한꺼번에 여러 소식이 쏟아졌습니다.
지난 4월 출시된 26.04 LTS “Resolute Raccoon”이 첫 포인트 릴리스를 앞두고 있는 와중에, 7월 1일에는
20.04 LTS부터 26.04 LTS까지 모든 활성 릴리스와 AWS·Azure·GCP·Oracle 클라우드 커널을 대상으로 하는
대규모 커널 보안 패치가 배포됐고, 같은 주 7월 9일에는 인터림 릴리스 25.10 “Questing Quokka”가 지원 종료(EOL)를
맞았습니다. 이 글에서는 시스템 관리자와 개발자가 놓치면 안 되는 세 가지 소식 — 26.04 LTS 핵심 변화,
Dirty Frag/Fragnesia 커널 취약점, 25.10 EOL 대응 — 을 정리합니다.

우분투 26.04 LTS “Resolute Raccoon” 다시 보기

Canonical이 지난 4월 23일 발표
26.04 LTS는 5년간 보안 업데이트가 보장되는 장기 지원 릴리스입니다. 첫 포인트 릴리스인 26.04.1은
8월 6일 예정이며, 이때부터 24.04 LTS에서 직접 업그레이드 경로가 열립니다.

GNOME 50과 Wayland 전면 전환

기본 데스크톱 환경이 GNOME 50으로 올라갔고, 네이티브 세션은 Wayland 단독으로 처리됩니다.
X11은 더 이상 네이티브 세션 옵션으로 제공되지 않으며, 레거시 X11 애플리케이션은 XWayland를 통해서만 구동됩니다.
X11 세션에 의존하는 사내 도구나 원격 데스크톱 스크립트가 있다면 업그레이드 전에 XWayland 호환성을 먼저 점검해야 합니다.

Rust 기반 코어 유틸리티와 sudo-rs

기본 커널이 Kernel 7.0으로 올라간 것 외에도, sudols 같은 기초 명령어가
메모리 안전(Memory-Safe) 언어인 Rust로 재구현된 sudo-rs, uutils coreutils로 교체됐습니다.
systemd도 259 버전으로 올라가며 cgroup v2가 필수가 됐고, 초기 램디스크 생성기는 dracut으로 바뀌었으며,
TPM 기반 전체 디스크 암호화도 기본 지원됩니다. 셸 스크립트나 자동화 도구에서 sudo, ls
출력 포맷 차이(예: 에러 메시지 문구, 옵션 호환성)에 의존하는 부분이 있다면 회귀 테스트가 필요합니다.

APT 3.2와 Ptyxis 터미널

APT 3.2는 새 의존성 솔버와 OpenSSL 기반 TLS를 도입했고, apt history-list·
apt history-rollback 같은 명령으로 설치·업그레이드·삭제 이력을 추적하고 롤백할 수 있게 됐습니다.
기본 터미널 에뮬레이터는 GNOME Terminal에서 GTK4 기반 GPU 가속 렌더링을 쓰는 Ptyxis로 교체됐으며,
Podman·Toolbox·Distrobox 컨테이너를 탭별로 기억하는 기능도 포함됩니다.

Dirty Frag·Fragnesia 커널 취약점과 7월 패치

Ubuntu 공식 발표에 따르면,
Dirty Frag(CVE-2026-43284, CVE-2026-43500)는 소켓 버퍼의 페이지 프래그먼트 공유 처리 로직 결함으로,
XFRM ESP-in-TCP 서브시스템과 RxRPC 네트워킹 서브시스템에서 발생합니다. 로컬 공격자가 이를 악용하면
권한 상승(Privilege Escalation)은 물론 컨테이너 이스케이프(Container Escape)까지 가능합니다.
이후 발견된 Fragnesia(CVE-2026-46300)는 Dirty Frag 패치를 우회하는 변종으로, 페이지 캐시 동작을
조작해 동일한 방식의 권한 상승을 재현합니다.

Canonical은 7월 1일, 20.04 LTS 유지보수 빌드부터 26.04 LTS까지 모든 활성 릴리스
AWS·Azure·GCP·Oracle 클라우드 전용 커널을 포함한 대규모 패치를 배포했습니다. 이후 7월 6일~9일에도
Linux 커널, OpenSSH, GnuTLS, PHP, Gzip 등 여러 패키지에서 추가 보안 수정이 이어졌습니다.
멀티테넌트 환경(공유 호스팅, 컨테이너 오케스트레이션 클러스터)을 운영 중이라면 최우선으로 적용해야 할 패치입니다.

# 현재 커널 버전 확인
uname -r

# 커널 관련 패키지 업데이트 여부 확인
apt list --upgradable 2>/dev/null | grep -i linux-image

# 보안 패치 적용
sudo apt update && sudo apt install --only-upgrade linux-image-generic linux-headers-generic

# 커널 업데이트 적용을 위해 재부팅 필요 여부 확인
[ -f /var/run/reboot-required ] && echo "재부팅이 필요합니다"

클라우드 인스턴스라면 배포판 기본 커널이 아닌 클라우드 전용 커널(linux-image-aws,
linux-image-azure, linux-image-gcp 등)을 쓰고 있는지 dpkg -l | grep linux-image
먼저 확인한 뒤 해당 패키지를 업데이트해야 합니다.

우분투 25.10 “Questing Quokka” EOL, 지금 해야 할 일

인터림 릴리스
25.10은 9개월 지원 정책에 따라 2026년 7월 9일 지원이 종료됐습니다. 이 시점 이후로는 보안 패치와
소프트웨어 업데이트가 더 이상 제공되지 않으므로, 25.10을 그대로 운영 환경에 두는 것은 위에서 다룬
Dirty Frag 같은 커널 취약점에 무방비로 노출된다는 뜻입니다.

가장 간단한 대응은 지원 기간이 긴 26.04 LTS로 업그레이드하는 것입니다. 인터림 릴리스 간 업그레이드 경로를
따라 26.04로 이동할 수 있습니다.

# 배포판 정보 확인
lsb_release -a

# 릴리스 업그레이드 도구로 26.04 LTS까지 업그레이드
sudo apt update && sudo apt full-upgrade -y
sudo do-release-upgrade

업그레이드 전에는 반드시 스냅샷이나 백업을 먼저 준비하고, 원격 서버라면 업그레이드 도중 SSH 연결이
끊어질 경우를 대비해 콘솔 접근 경로(클라우드 콘솔, IPMI 등)를 확보해두는 것이 좋습니다.

주의사항

  • Kubuntu·Xubuntu 등 플레이버는 EOL 일정이 다를 수 있습니다. 공식 Ubuntu 데스크톱과 동일한 버전이라도 플레이버별 지원 종료일을 별도로 확인해야 합니다.
  • 클라우드 커널은 별도 패키지입니다. linux-image-generic만 업데이트하고 실제로는 linux-image-aws 등을 쓰고 있어 패치가 적용되지 않은 채 방치되는 사례가 흔합니다.
  • Dirty Frag·Fragnesia는 컨테이너 이스케이프 가능성이 있습니다. 호스트 커널 패치가 곧 컨테이너 격리의 전제 조건이므로, 컨테이너 이미지만 업데이트하고 호스트 커널을 방치하면 의미가 없습니다.
  • 커널 패키지 업데이트 후에는 재부팅이 필요합니다. /var/run/reboot-required 파일 존재 여부로 확인하고, 서비스 영향도를 감안해 점검 시간을 미리 공지하세요.

마무리

26.04 LTS의 Rust 코어 유틸리티, Wayland 전면 전환은 앞으로 몇 년간 우분투 환경의 기본값이 될 변화이고,
Dirty Frag·Fragnesia 패치와 25.10 EOL은 지금 당장 조치가 필요한 사안입니다. uname -r로 현재 커널을
확인하고, apt list --upgradable로 대기 중인 패치를 점검한 뒤, 25.10을 쓰고 있다면 26.04 LTS로
업그레이드 일정을 잡는 것을 권장합니다. 최신 보안 공지는
Ubuntu Security Notices에서 계속 확인할 수 있습니다.

답글 남기기