CTS의 AMD 취약점·백도어 백서는 가짜뉴스? 쟁점 정리

- Advertisement -

13일(현지시간) 이스라엘 기반 사이버 보안 업체 CTS Labs(이하 CTS)는 AMD 에픽(EPYC)과  라이젠, 라이젠 프로, 라이젠 모바일 제품군에 심각한 보안 취약점과 백도어가 있다고 발표했습니다.

발표 직후 씨넷과 아스테크니카를 비롯한 IT 분야 주요 외신은 올해 초 있었던 스펙터/멜트다운 이슈와 같이 심각한 문제가 AMD에도 발생했다고 전했습니다.

허나 이번에는 조금 다른 분위기로 사안이 전개되는 모습입니다. CTS의 백서 공개 이후 국내외 커뮤니티와 전문가 사이에선 이에 대해 여러 반론과 의심이 제기되기 시작했죠. 해당 발표가 주가 조작 등 불순한 의도를 가진 악의적 뉴스, 가짜 뉴스라는 여론도 팽배해졌습니다. 

AMD Flaws Interview (출처-CTS Labs Youtube)

1. CTS 사에 대한 의심

CTS 사는 이스라엘 기반으로 2017년 세워진 보안 업체입니다. 직원 수는 6명에 불과하죠. 회사의 신뢰성이나 실력을 담보할 만한 레퍼런스와 정보가 부족한 상태입니다. 그럼에도 기존 어떤 대형 보안업체에서도 발표가 없었던 취약점을 발견한 것이기에 충분한 신뢰를 주지 못하고 있습니다.

아울러 보안 업계는 신규 취약점이 발견되면 보통 90일 전에는 해당 업체에 통보, 적절한 대응과 패치가 이뤄진 후에 내용을 발표해 왔습니다. 섣부른 공개로 인해 취약점이 악용되는 것을 방지하기 위해서죠.

반면 CTS는 겨우 24시간 전에 통보했습니다. AMD 측이 전달받은 취약점 관련 정보를 제대로 살펴보거나 대응 패치를 내놓기에는 부족한 시간입니다. 일부 해외 언론은 CTS로부터 사전에 관련 내용을 언질 받은 정황까지 드러나면서 논란의 불씨를 지폈습니다. 

신생 업체의 노이즈 마케팅 혹은 주가 조작 등 불순한 의도가 담긴 백서 공개 아니냐는 주장이 제기되는 이유입니다.  

백서 마지막 장에는 관련 내용이 CTS의 의견이며 사실에 대한 진술이 아니라는 면책성 문구를 삽입한 점도 책잡히는 부분입니다. 물론 이에 대해서는 대부분 많은 보안업체가 취약점 보고서 발간시 유사한 문구를 넣는다는 점을 고려하실 필요가 있습니다.

백서를 게시하기 위해 구입한 도메인 https://amdflaws.com이 불과 몇 주 전, 2월 22일에 구입된 도메인이라는 점도 CTS에 대한 의구심을 자아냅니다. 



CTS의 백서 3문단 ‘모든 진술은 CTS의 의견이며 사실에 대한 진술이 아닙니다.’라는 부분이 신뢰도를 떨어뜨린다. (출처-CTS)

2. 발표 내용에 대한 의심

CTS는 AMD 사의 네 가지 제품군 에픽, 라이젠, 라이젠 프로, 라이젠 모바일이 가지고 있는 취약점을 네 가지 카테고리로 명명해 발표했습니다. △ Masterkey, △ Ryzenfall, △ Fallout, △ Chimera 4 등인데요.

백서에 따르면 마스터키(Masterkey)는 펌웨어 기반의 보안을 우회하여 네트워크 크레덴셜(Network Credential)을 훔치고 하드웨어에 물리적 대미지를 줄 수 있는 취약점입니다.



마스터키 취약점에 대한 그림 설명 (출처-CTS)

라이젠폴(Ryzenfall)과 폴아웃(Fallout)은 보안 OS나 부트 리더에 멀웨어를 설치할 수 있는 취약점입니다.  

Ryzenfall과 Fallout 공격에 대한 그림 (출처-CTS)

마지막으로 키메라(Chimera)는 펌웨어 또는 하드웨어에 있는 백도어로, 네트워크나 하드웨어에 멀웨어를 설치할 수 있습니다. 



Chimera 취약점에 대한 그림 설명 (출처-CTS)

백서 내용을 살펴보면 AMD의 칩셋은 치명적인 문제점을 안고 있습니다. 하지만 ▶ 라이젠폴과 같이 특정 제품명을 기입, 악의적 의도가 느껴지는 명칭을 사용했다는 의견 ▶ 모든 권한이 넘어갔을 경우를 가정했기에 실질적으로 의미가 없다는 의견(이 상태라면 정보를 직접 빼갈 것이지, CPU를 공격할 필요가 없다는 의견) ▶ 취약점이라는 용어 자체가 제품의 결함이 아니며 생길 수 있는 위협성으로, 충분히 해결 가능하다는 의견 등이 제기되고 있습니다.

도어락 비밀번호를 알려준다면 아무나 너네 집 드나들 수 있어!! 위험해!!

라는 말하는 것과 다를 바 없다는 비아냥도 나오고요.

3. 온라인 커뮤니티의 반응

백서 공개 후 반나절 동안 여러 사이트가 들썩들썩했습니다. 우선 당사자인 AMD는 CTS 백서에 대해 ‘CTS는 우리가 아는 보안 업체가 아니며, 문제를 해결할 합리적인 시간을 주지 않고 통보하는 것은 매우 이례적이다’라고 입장을 밝혔습니다.  

아울러 ‘AMD 최고 가치 중 하나는 보안이며, 보안에 대해 끊임없이 연구하며 일하고 있다’고 전했습니다. 제기된 사항에 대해 분석해보고, 알게 된 것들에 대해 공지하겠다는 설명입니다.



AMD 사의 공식 입장문 (출처-AMD)

리눅스의 아버지 Linus Torvalds는 보안 업계가 부패한 것은 알았지만 더 말이 안 되는 상황으로 가고 있다고 비판의 목소리를 높였는데요. 이번 일로 인해 IT 보안 업계가 막장으로 치달았다고 안타까움을 표했습니다.



리눅스의 아버지 Linus Torvalds의 이번 사태에 대한 게시글 (출처-Plus Google)

이외에도 여러 컴퓨터 관련 커뮤니티는 ▶ CTS가 인텔로부터 자본을 받고 AMD를 공격한 것이다 ▶ AMD 주식 폭락을 유도하여 차익을 챙기려는 의도다 ▶ CTS의 노이즈마케팅이다 등 다양한 의혹이 제기되고 있습니다. 

이번 CTS의 발표는…

인텔에 이어 믿었던 AMD 너마저… ‘갓’ 리사 수 님이 어떻게 이럴 수가.. 백서를 처음 접하고 느꼈던 감정입니다. 그리고 여러 반박 의견이 제시되는 분위기를 보며 그나마 최악의 상황은 아니라고 안도감이 들었죠.

여러 정황이 발표의 신뢰도를 떨어뜨리고, 업체에 대한 의구심도 듭니다. 허나 보안 취약점과 백도어에 대한 문제는 면밀히 따지고 갈 필요가 있습니다.

도어락 번호를 알면 도어락이 뚫리는 것은 당연한데 보이스피싱, 개인정보 유출, 면식범 소행 등 다양한 상황이 연결되면 그럴리야 했던 문제가 피해로 이어질 수 있습니다. CTS에서 제기한 보안 취약점이 절대 말도 안 될 것 같지만 여러가지 사회공학적 기법과 접목될 가능성도 고려해야 합니다. 설사 의도가 불순하고 업체 신뢰성이 바닥을 치더라도 실제 취약점이 존재한다면 당연히 패치해야죠.

백도어 문제도 마찬가지입니다. AMD 탓이 아니는 외주 생산업체가 문제다? 소비자는 AMD와 라이젠이라는 브랜드를 보고 삽니다. 그런 제품에 백도어가 심어져 있었다면 그 책임은 최종 검수에서 이를 찾아내지 못한 AMD가 져야 합니다.

과연 이번 CTS의 AMD 취약점·백도어 경고의 결론이 어떻게 날지.. 추이가 주목됩니다. 

박정은 테크플러스 에디터
박동원 테크플러스 인턴 
tech-plus@naver.com

- Advertisement -

댓글

Please enter your comment!
Please enter your name here

Related Stories