AMD, 라이젠·에픽, 치명적 취약점 발견

AMD, 라이젠·에픽, 치명적 취약점 발견

AMD 라이젠과 에픽 프로세서에서 스펙터·멜트다운과 유사한 13종 치명적 취약점이 발견됐다. 제조사부터 칩셋에 백도어를 넣었다는 의혹도 나왔다.

14일 이스라일 보안업체 CTS는 'AMD 프로세서에 대한 심각한 보안 주의보(Severe Security Advisory on AMD Processors)'라는 제목의 백서를 공개했다. 백서에 따르면 AMD 최신 에픽, 라이젠, 라이젠 프로, 라이젠 모바일 프로세서 제품군에 치명적 보안 취약점과 제조사 백도어가 존재한다고 설명했다.

이번에 발견된 취약점은 라이젠폴, 폴아웃, 키메라, 마스터키 등 네 가지 카테고리로 이름 붙여졌다. 서버, 워크스테이션, 노트북 등 AMD 프로세서가 탑재된 광범위한 제품군에 위협이 될 수 있다.

CTS 연구진 분석에 따르면 이번 신규 취약점은 AMD의 '보안암호가상화(Secure Encrypted Virtualization·SEV)' 기술을 무력화한다. MS 윈도 크레덴셜가드(Credential Guard)를 우회해 네트워크 인증서 탈취가 가능하다.

특히 키메라는 제조사단에서 칩셋에 숨겨둔 것으로 보이는 백도어다. 은밀히 키로거를 실행하거나 네트워크 기반 악성코드를 흘려보낸다. 메모리 보호 우회도 가능하다. 이 칩셋은 라이젠과 라이젠 프로 워크스테이션에 일체화된 부품이다.

키메라는 두 가지 세트로 구성됐다. 실행 중인 펌웨어 상에서 구현되며, 다른 하나는 칩 ASIC 하드웨어 안에 있다. 후자는 직접 수정이 어려워 리콜 가능성도 제기된다. CTS 측은 백서 공개 24시간 전 AMD 측에 관련 정보를 공유했다고 밝혔다.

한편, 씨넷 등 외신과 해외 전문가는 이번 백서가 관례를 따르지 않는 등 공격적 내용으로 공개 방식에 문제가 있다고 지적했다. CTS 보안 업체 신뢰성도 문제다. CTS 측은 백서에는 '여기에 포함된 보고서와 모든 진술은 CTS 랩 의견이며 사실 진술은 아니다'라는 면책 조항을 명시했다.

정영일기자 jung01@etnews.com

위방향 화살표