AMD는 취약점 패치를 4개월 지연한 혐의로 기소되었으며 나중에 규칙을 변경하고 10,000달러의 취약점 지불을 거부했습니다. bounty

최근 한 보안 연구원은 AMD가 자신이 보고한 보안 취약점을 부적절하게 처리했다고 비난했습니다. 패치를 완료하는 데 124일이 걸렸을 뿐만 아니라, 이후 버그 바운티 프로그램의 조건을 수정하는 등 이를 핑계로 그가 받아야 했던 미화 10,000달러의 보너스 지급을 거부해 업계에 광범위한 의혹을 불러일으켰습니다.

보도에 따르면 온라인 이름이 "MrBruh"인 보안 연구원은 새로 조립한 게이밍 PC에 AMD 업데이트 프로그램 콘솔 창이 나타나는 것을 자주 보고 자동 업데이트 소프트웨어를 의심하고 리버스 엔지니어링을 시작했습니다. 분석 결과, AMD 업데이트 프로그램은 HTTPS 프로토콜을 통해 업데이트 목록을 획득했지만, 실제로 업데이트 실행 파일을 다운로드하는 데 사용된 링크는 일반 텍스트 HTTP를 사용하고 실행 전 유효한 인증서 확인이나 서명 확인이 수행되지 않는 것으로 나타났습니다. 이는 공격자가 동일한 네트워크 환경에 있거나 업스트림 링크를 제어할 수 있는 한, 중간자 공격을 통해 AMD의 업데이트 파일을 악성 실행 프로그램으로 교체할 가능성이 있고, 업데이트 프로그램 자체가 높은 권한으로 실행되어 원격 코드 실행 위험이 발생할 수 있음을 의미합니다.

MrBruh는 1월 27일에 취약점을 발견하고 2월 6일 AMD의 버그 바운티 프로그램을 통해 공식적으로 보고서를 제출했습니다. AMD는 나중에 이 문제가 "계획 범위를 벗어났다"는 이유로 보고서를 마감했으며, 이 문제는 중간자 공격 시나리오와 관련되어 "선택적 도구"에 영향을 미치므로 현상금은 발행되지 않습니다. 그러나 이 취약점은 공식적으로 CVE-2026-40677로 번호가 지정되었으며 CVSS 4.0 점수 7.7을 받았습니다. 이는 심각도가 낮지 않음을 나타냅니다. 신고부터 패치, 해제까지의 전 과정은 124일 동안 진행됐으며, 공개 금지 조치는 6월 9일 종료됐다.

AMD의 초기 거부 이후 MrBruh는 기술 분석 기사를 공개적으로 게시하여 Hacker News와 같은 커뮤니티의 관심을 끌었습니다. 여론이 격화되자 AMD 내부 제품보안사고대응팀(PSIRT)은 그에게 다시 연락해 문제가 아직 평가 중이라며 그의 폭로 행위가 취약점 보상 프로그램 관련 조항을 준수하지 않는 것 같다며 공개 기사를 일시적으로 삭제해 달라고 요청했다.

하드웨어 매체인 Gamers Nexus의 조사에 따르면 AMD는 이후 취약점 보상 프로그램의 규칙 문구를 조정한 것으로 나타났습니다. 새로운 약관에서는 보안 보고서가 보상 대상이 아니라고 판단되거나 프로그램 범위에 속하지 않는 경우에도 연구자는 AMD의 서면 동의 없이 취약점 정보를 게시할 수 없음을 명확하게 규정하고 있습니다. 즉, AMD는 기존 규정에 따라 취약점 타당성과 포상금을 먼저 부정한 뒤 사실 이후에 규정을 변경한 뒤 돌아서 해당 연구원이 당시 아직 작성되지 않은 조항을 위반했다고 비난한 것이다.

현재 AMD는 공식 보안 게시판에서 이 취약점의 존재를 공개적으로 인정했으며 기사에서 MrBruh에게 서명을 제공했습니다. 이 발표에서는 AMD Ryzen Master 2.14.3, AMD µProf 5.3 및 AMD Management Console 14.0.0과 같은 버전이 완화를 완료했다고 밝혔습니다. AMD는 연구원들에게 이제 모든 업데이트 통신이 HTTPS로 완전히 전환되었으며 업데이트 프로세스에 서명 확인 프로세스가 추가되었다고 밝혔습니다. 그러나 MrBruh는 HTTPS 사용을 확인했지만 다운로드한 실행 파일에서 CRC32 검사만 발견했으며 이는 보안 측면에서 암호화 서명 확인을 구성하지 않는다는 점을 다시 테스트한 후 지적했습니다.

또한, 연구원은 업데이트 프로그램에 또 다른 리디렉션 관련 결함이 있어 자체 업데이트 프로세스가 정상적으로 진행되지 않을 수 있다고 언급했습니다. 위의 문제를 바탕으로 MrBruh는 잠재적인 위험을 줄이기 위해 사용자에게 현재 AMD 관련 소프트웨어를 완전히 제거하고 AMD 공식 웹사이트에서 직접 최신 버전을 수동으로 다운로드할 것을 권장합니다.

이 사건은 AMD의 자동 업데이트 메커니즘 설계의 보안 위험을 드러냈을 뿐만 아니라 대형 제조업체가 보안 연구 그룹을 어떻게 대하는지에 대한 논의를 촉발시켰습니다. 외부 세계의 비평가들은 처음에는 보상 프로그램에서 문제를 제외하는 것부터 나중에 공개를 제한하기 위해 규칙을 수정하는 것까지 AMD의 처리 방법이 취약점 공개 시스템에 대한 보안 커뮤니티의 신뢰를 손상시킬 수 있다고 믿습니다.