취약점 자체는 허황되지 않아...위험성 자체 평가는 갈려
[보안뉴스 문가용 기자] 지난 주 이스라엘의 보안 업체인 CTS 랩스(CTS Labs)가 발표한 AMD 프로세서의 취약점의 당위성을 또 다른 보안 업체가 확인하고 나섰다. 그러나 AMD를 휘청거리게 할 만한 사안은 아닌 것처럼 보인다.
[이미지 = iclickart]
CTS 랩스는 지난 주 13개의 치명적인 취약점 및 백도어를 AMD 프로세서에서 발견했다고 발표했다. 특히 에픽(EPYC)과 라이젠(Ryze) 프로세서들에서 이러한 약점들이 나타났었다. CTS 랩스는 “공격자가 이 취약점을 익스플로잇 할 경우 임의의 코드를 실행할 수 있게 되며, 각종 보안 장치들을 피해 데이터를 훔치거나 또 다른 멀웨어를 설치할 수 있게 된다”고 밝혔다.
이 오류들에는 마스터키(MASTERKEY), 라이젠폴(RYZENFALL), 폴아웃(FALLOUT), 키메라(CHIMERA)와 같은 이름이 붙었다. 익스플로잇을 위해서는 권한 상승 공격이 선행되어야 하지만, 물리적 접근이 반드시 필요한 것은 아니었다. CTS 랩스는 아직 기술적인 세부 사항까지 공개하지는 않았다.
CTS 랩스는 이 발표가 있기 전까지 아무도 몰랐던 보안 업체다. 하지만 이 발표 한 번으로 누구나 아는 보안 업체가 되어버렸다. 이 발표가 워낙 획기적이어서가 아니라, 대중에게 공개하기 불과 하루 전에 AMD 측에 이 사실을 알렸고, 보고서 자체에 기술적이 내용이 불충분했기 때문이다. 홍보 효과를 노린 것이라는 의혹이 일었고, AMD 주가를 떨어트리녀는 시도라는 분석도 나왔다. 이에 CTS 랩스는 해명 자료를 발표했으나, 의혹이 깨끗해지지는 않았다.
하지만 이 보고서를 획득하고 스스로 해당 취약점을 점검해보는 보안 전문가들이 하나 둘 늘어나고 있다. 가장 먼저 이를 확인한 건 트레일 오브 비츠(Trail of Bits)라는 보안 업체다. 이들은 CTS 랩스가 제시한 내용들이 들어맞고 AMD 프로세서가 취약한 것이 사실이라고 발표했다. 하지만 “CTS 랩스가 표현한 것만큼 위험한 건 아니”라고 덧붙였다.
“솔직히 지금 당장 기술 세부 사항들이 발표된다고 해도 공격이 금방 일어나지는 않을 겁니다. 왜냐하면 공격 가능한 툴을 만들기 위해 적잖은 노력과 자원을 투자해야 하거든요. 아마 평범한 공격자들 대부분은 이러한 여건을 가지고 있지 못할 겁니다.” 트레일 오브 비츠의 블로그에 적힌 내용이다.
그리고 이번 주 월요일 보안 업체 체크포인트(Check Point) 역시 라이젠폴 취약점에 대한 확인 내용을 발표했다. 다음과 같은 전제를 깐 이후였다. “같은 이스라엘 업체이긴 하지만 CTS 랩스와 체크포인트는 아무런 관계나 접점을 가지고 있지 않습니다. 또한 CTS 랩스의 취약점 공개 방식을 지지하지도 않습니다. 오히려 무책임한 행동이었다고 판단하고 있습니다.”
하지만 체크포인트는 “그러한 외부적인 요소들을 제쳐두고 취약점 자체만 분석했을 때 CTS 랩스가 말한 것처럼 심각한 사태로 이어질 수 있는 취약점들임을 확인할 수 있었다”고 말했다. “이 취약점들은 그냥 간과하고 넘어갈 것이 절대 아닙니다.”
윈도우 보안 전문가인 알렉스 이오네스큐(Alex Ionescu) 역시 CTS 랩스의 취약점을 확인하고 발표했다. “펌웨어와 칩셋 단에서 문제가 있고, 어드민 수준의 접근을 가능케 하는 취약점들이라 악용될 경우 큰 피해가 발생할 수 있습니다.”
또 CTS 랩스가 보고서를 발표하고 한 시간도 되지 않아 이를 검토한 업체도 있다. 비서로이 리서치(Viceroy Research)라는 곳인데, 이 회사 역시 이번 사건으로 CTS 랩스만큼 논란의 한 중심에 있다. 확증을 위해 기술적인 검토가 필요한 보고서를 한 시간 내에 검사해 그 결과를 발표하면서, AMD가 사망했다는 강한 표현을 사용했기 때문이다. 일각에서는 CTS와 비서로이가 함께 손을 잡고 AMD 주가를 떨어트리려 공작했다고 분석하기도 한다.
이에 비서로이는 해외 IT 매체인 머더보드를 통해 “취약점에 대한 내용을 공식 발표 이전에 익명의 제보자에게 받았다”고 해명했다. 그러면서 “CTS와는 아무런 관계가 없다”고 선을 그었다. CTS 측은 ‘금전적인 동기’ 부분에 대해 명확한 설명을 제공하지 않고 있다.
사실 관계야 어찌됐던 AMD의 주가는 아직 크게 변하지 않고 있다. 전문가들 사이에서는 “이번 발표가 AMD를 크게 흔들지 못할 것”이라는 예측이 지배적이다. 그 근거는 인텔이다. 인텔은 멜트다운(Meltdown)과 스펙터(Spectre)라는 엄청난 취약점들이 공개되는 상황에 놓였지만 주가에는 유의미한 변화가 일어나지 않았다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>