AMD의 자동 업데이트 소프트웨어에서 심각한 원격 코드 실행(RCE) 취약점이 발견되어 사용자들의 주의가 요구됩니다. 한 사용자가 게임 PC에서 주기적으로 나타나는 콘솔 창 문제를 추적하다가 AMD의 자동 업데이트 프로그램에서 이 취약점을 우연히 발견했습니다. 이 취약점은 공격자가 중간자 공격(MITM)을 통해 악성 실행 파일을 사용자 PC에 다운로드하고 실행할 수 있게 합니다.
문제의 핵심은 AMD 자동 업데이트 프로그램이 업데이트 파일 다운로드 시 HTTPS 대신 HTTP 프로토콜을 사용한다는 점입니다. 개발자는 프로그램 설정 파일에 업데이트 URL을 HTTPS로 저장했지만, 실제 다운로드 링크는 HTTP로 되어 있어 네트워크상에서 공격자가 쉽게 개입할 수 있었습니다. 더욱이, 이 소프트웨어는 다운로드된 실행 파일에 대한 서명 유효성 검사 등 어떠한 보안 검증 절차도 없이 즉시 실행하는 것으로 확인되어 보안 위험을 더욱 키웠습니다. 제보자는 이 문제를 AMD에 보고했지만, AMD는 버그 바운티 프로그램 약관상 중간자 공격 시나리오는 범위 외라는 이유로 초기 보고를 거부했습니다.
하지만 이 문제가 해커 뉴스(Hacker News) 등 온라인 커뮤니티에서 크게 논란이 되자, AMD는 뒤늦게 내부 보안팀(PSIRT)을 통해 재검토에 착수했습니다. AMD는 이 취약점에 대해 CVE를 발행하고 패치를 적용하며 제보자에게 보안 연구자로서의 공로를 인정하겠다고 밝혔습니다. 그러나 AMD는 제보자에게 블로그 게시물 삭제를 요청하고, 업계 표준보다 훨씬 긴 정보 공개 유예 기간을 요구하여 비판을 받았습니다. 이는 패치 적용이 HTTP를 HTTPS로 변경하는 간단한 작업임에도 불구하고, 여러 AMD 제품에 영향을 미칠 수 있다는 이유로 지연된 것으로 알려졌습니다. 결국 제보자는 초기 공개 후 124일이 지나서야 이 문제를 다시 공개할 수 있었습니다. 이 사건은 대기업의 보안 취약점 대응 방식과 연구자 보상 정책에 대한 중요한 질문을 던지고 있습니다.