AMD, 에픽 프로세서 보안 취약점 업데이트

AMD와 구글이 지난 3일(미국 현지시간) 서버용 프로세서 '에픽'(EPYC)의 보안 가상화 기술 'SEV' 관련 취약점(CVE-2024-56161)을 공개하고 마이크로코드 업데이트를 권고했다. SEV는 서버에서 가상화를 통해 여러 사용자의 데이터를 안전하게 분리하고 보호하는 핵심 기술이다. 구글은 깃헙에 올린 설명에서 "이번에 발견한 마이크로코드 취약점으로 SEV 보호가 무력화될 경우, 가상화된 사용자들의 기밀 데이터가 유출될 위험이 있다"고 설명했다. 에픽 7001/7002/7003, 에픽 9004 시리즈 등 현행 제품과 전 세대 제품을 포함해 총 4개 제품군이 영향을 받았다. 구글 내 보안 연구팀은 지난 해 9월 말 이 취약점을 발견한 후 AMD에 통보했다. AMD는 취약점을 방어할 수 있는 마이크로코드 패치를 12월에 개발해 주요 서버 제조사에 공급했다. AMD는 "영향을 받는 모든 플랫폼에서 악의적인 마이크로코드 로딩을 방지하기 위한 마이크로코드 업데이트가 필요하며 일부 플랫폼의 경우 SEV-SNP 인증 지원을 위한 SEV 펌웨어 추가 업데이트도 마쳐야 한다"고 설명했다.