이스라엘에 위치한 보안 관련 기업인 CTS-Labs이 AMD의 Zen 아키텍처에 4가지 형태의 보안 취약점이 있다고 발표해서 논란이 일고 있습니다. 사실 현대 프로세서는 매우 복잡한 제품이고 당연히 보안 취약점은 물론 다양한 버그를 가지고 있습니다. 따라서 새로운 보안 취약점을 발견했다고 해도 놀랄일은 아니지만, 제조사에서 보안 취약점을 해결할 패치를 어느 정도 준비할 시간을 주지 않고 갑자기 발표했기 때문에 문제가 되고 있습니다. 물론 실제로 보안 취약점을 이용해서 해킹할 수 있는지 역시 현재 상태에는 검증되지 않았습니다.
아무튼 CTS-Labs이 밝힌 보안 취약점은 크게 네 가지 입니다. 마스터키 (MasterKey)는 BIOS의 무결성 검증을 우회하는 방식으로 ARM A5 기반의 보안 프로세서 내부에서 실행되어 CPU의 백신으로는 감지되지 않는다고 합니다. 키메라 (Chimera)는 마더보드 칩셋을 이용한 취약점으로 칩셋을 통과하는 모든 장치에 영향을 줄 수 있습니다. 라이젠폴 (Ryzenfall)이라고 명명한 취약점은 에픽 프로세서에서는 감지되지 않았지만 라이젠 프로세서에 영향을 주는 취약점으로 Microsoft Virtualization 를 비롯한 여러 보안 시스템을 우회할 수 있다고 합니다. 마지막으로 폴아웃 (Fallout) 취약점은 가상 머신과 호스트 간의 장벽을 뚫을 수 있습니다.
실제로 이런 취약점이 있다면 당연히 패치를 마련해야 하겠지만, 공개하는 과정이 석연치 않아서 논쟁이 일어나고 있습니다. 구글이 발견한 멜트다운 같은 보안 취약점은 공개하기 수개월 전에 인텔에 먼저 알려줬고 최소한 대처를 할 시간은 줬습니다. 해커의 악용을 방지하기 위해서는 당연한 조치라고 하겠습니다. 문제가 된 부분은 반대로 인텔이 결합이 있는 프로세서를 그대로 출시한 것이지만, 아무튼 통상적인 과정은 그렇다고 해야 할 것입니다.
CTS-Labs은 잘 알려지지 않은 회사로 아마도 회사의 인지도를 높이려는 목적에서 다른 쪽에서 발표하기 전에 먼저 발표하기 위해 서둘렀을지 모르지만, 오히려 해커에게 악용할 시간을 벌어줬다는 논쟁에서 자유롭지는 못할 것 같습니다. 다만 그것과는 상관없이 실제로 보안 취약점이 있다면 빨리 이를 해결해야 할 것으로 보입니다. 물론 진짜 취약점이 있는지도 검증이 필요한 내용이죠.
아직은 페이크다 아니다 말이 많지만 일단 결과를 기다려봐야 할 것 같습니다.
참고
댓글
댓글 쓰기