부적절한 서명 검증은 악의적인 코드를 로드할 수 있게 합니다.
AMD와 Google은 어제, AMD Zen 1부터 Zen 4에 이르기까지 CPU, 특히 서버 및 엔터프라이즈 플랫폼용 EPYC CPU에서 발견된 핵심 마이크로코드 취약점에 대한 9월 조사 결과를 공개했습니다. 해당 취약점(CVE-2024-56161)은 Google Security Research 팀의 GitHub 게시물과 AMD의 공식 보안 게시물에서 더 상세히 다루고 있습니다.
Google의 문서에 따르면, 해당 문제는 원래 2024년 9월 25일에 보고되었으며, AMD가 약 두 달 반이 지난 2024년 12월 17일에 패치로 수정했습니다. 공시일은 문제가 광범위하게 확산되기 전에 AMD 고객들이 패치를 적용할 시간을 확보하기 위해 어제(2월 3일)로 늦춰졌습니다.
AMD의 공식 입장에 따르면, "Google의 연구원들이 AMD에 잠재적 취약점에 대한 정보를 제공했으며, 이 취약점이 성공적으로 악용될 경우 기밀 게스트의 SEV 기반 보호 기능이 상실될 수 있습니다."라고 명시되어 있습니다.
SEV는 Secure Encrypted Virtualization의 약자로, 서버급 AMD CPU가 가상화를 지원하는 데 사용되는 기능입니다. 이 기능은 보통 데이터가 중앙 서버에 저장 및 관리되는 원격 또는 온사이트 "씬 클라이언트" 환경에서 사용됩니다. 이러한 클라이언트 장치들은 접근에 사용되는 보조적인 기기 특성상 처리 능력이 미미하거나 아예 없을 때도 있습니다. 물론 실제 환경 구성은 다를 수 있습니다. 하지만 여러 사용자를 가상화하는 주요 목적은 일반적으로 하드웨어 비용 절감 또는 높은 수준의 보안 제공—종종 두 가지 목적 모두—입니다.
마이크로코드 익스플로잇을 통한 SEV 기반 보호의 상실은, 기존에 기밀로 유지되던 가상화된 사용자의 데이터가 이 취약점을 통해 유출될 수 있음을 의미합니다. 다만, 악성 마이크로코드 로딩은 단순한 데이터 유출을 넘어 더 광범위한 익스플로잇을 가능하게 할 수 있습니다.
영향을 받은 특정 AMD EPYC CPU 시리즈는 다음과 같습니다: AMD EPYC 7001 (Naples), AMD Epyc 7002 (Rome), AMD Epyc 7003 (Milan 및 Milan-X), 그리고 AMD Epyc 9004 (Genoa, Genoa-X, 및 Bergamo/Siena). 다행히 영향을 받은 CPU에 대한 마이크로코드 업데이트는 이미 출시되었으므로, 적절한 업데이트 유틸리티(BIOS 업데이트 등)를 사용하면 정상적으로 작동할 것입니다. 다만, AMD가 주지하듯이, 일부 플랫폼이 SEV-SNP 인증을 통해 수정 사항을 제대로 지원하려면 별도의 SEV 펌웨어 업데이트가 필요할 수 있습니다.