AI 요약
새 게이밍 PC에서 주기적으로 화면에 나타났다 사라지는 콘솔 창의 원인을 추적하던 한 보안 연구자가 AMD AutoUpdate 소프트웨어를 디컴파일 분석하여 심각한 원격 코드 실행(RCE) 취약점을 발견했습니다. 분석 결과, 해당 소프트웨어는 app.config 설정 파일에 명시된 'Develpment'라는 개발용 HTTPS URL을 참조하고 있었으나, 정작 실제 실행 파일을 로드하는 하위 URL들은 암호화되지 않은 HTTP 프로토콜을 사용하고 있었습니다. 특히, 다운로드된 실행 파일의 디지털 서명이나 인증서를 검증하는 프로세스가 전혀 없어, 중간자 공격(MITM)을 통해 해커가 네트워크 패킷을 가로채고 악성코드를 주입할 경우 타겟 시스템에서 검증 없이 그대로 실행되는 치명적인 상태였습니다. 최초 제보 시 AMD의 서드파티 버그 바운티 플랫폼인 'Intigriti'는 MITM 기반 시나리오라는 형식적 가이드라인을 이유로 심사 대상에서 제외(Out of Scope)했으나, 해당 발견이 IT 커뮤니티인 'Hacker News'에서 큰 화제를 모으자 AMD 본사 내부 보안 팀인 PSIRT가 직접 나섰습니다. AMD PSIRT는 개발자의 게시물 비공개 요청과 함께 정밀 분석에 착수했으며, 마침내 취약점을 인정하고 공식 CVE 발급 및 패치 적용, 연구자 공헌 등재를 약속하며 해프닝은 일단락되었습니다.
핵심 인사이트
- 취약한 파일 다운로드 구조: AMD AutoUpdate는 설정 로드 시 HTTPS를 사용하지만, 정작 실제 패치 파일 다운로드 시에는 보안 연결이 없는 HTTP URL을 사용하여 변조에 무방비했습니다.
- 검증 로직 전무: 다운로드된 실행 파일에 대한 신뢰성이나 디지털 서명을 확인하는 최소한의 보안 로직이 누락되어 악성코드가 즉시 실행될 수 있는 상태였습니다.
- 서드파티 버그 바운티의 한계: 아웃소싱 플랫폼인 'Intigriti'는 취약점의 파급력보다 단순히 규격 외 공격(MITM)이라는 룰에 치중해 초기에 신고를 기각했습니다.
- 커뮤니티 파급력: 블로그 포스팅이 'Hacker News' 트렌딩에 오른 뒤 단 하루 만에 AMD 내부 보안 조직(PSIRT)이 직접 연락을 취해 입장을 전면 번복했습니다.
주요 디테일
- 분석의 발단: 게이밍 PC 사용 중 비주얼을 방해하며 주기적으로 팝업되는 명령 프롬프트 창에 불만을 품은 연구자가 실행 프로세스를 역추적하며 발견되었습니다.
- 프로덕션 내 개발 설정 방치: 정식 릴리즈된 배포 버전에 오타가 난 개발 전용 주소인 'Develpment' URL 설정이 그대로 방치되어 작동하고 있었습니다.
- 광범위한 위협 행위자: 사용자 로컬 네트워크의 공격자뿐만 아니라, 인터넷 서비스 제공업체(ISP)의 경로 제어권을 확보한 국가 지원 해킹 조직 수준까지 중간자 공격을 시도할 수 있는 높은 위험성을 내포했습니다.
- 비공개 및 협조 요청: AMD PSIRT는 자체 검토와 패치 제작이 완료될 때까지 관련 취약점 분석 블로그 글을 일시적으로 비공개 조치해 줄 것을 제안했고, 연구자는 이에 협조했습니다.
- 패치 전환 및 조치: AMD는 2차 분석 후 최종적으로 해당 RCE 위협에 대응하는 수정을 단행하고 공식 CVE 코드를 발급함과 동시에 제보자 기여 목록에 이를 등재하기로 합의했습니다.
향후 전망
- 하드웨어 유틸리티 보안의 신뢰 제고: 드라이버 자동 업데이트 등 제조사 기본 탑재 유틸리티들이 악성코드의 신뢰할 수 있는 전파 경로가 되지 않도록 업계 전반의 서명 검증 강화가 도모될 것입니다.
- 버그 바운티 거버넌스 개선: 실질적 위험도를 외면하는 기계적인 트리거링 기준을 개선하고, 제조사 내부 보안 전담 팀과의 소통 채널을 유연화하는 거버넌스 개편이 지속적으로 이루어질 것입니다.
출처:hackernews