AMD가 수정하지 않겠다고 한 원격 코드 실행(RCE) 취약점

• AMD의 AutoUpdate 소프트웨어에서 원격 코드 실행(RCE) 취약점이 발견되어 보고되었으나, AMD는 이를 수정하지 않기로 결정함
• 업데이트 구성 파일에 저장된 URL이 HTTP 프로토콜을 사용해 실행 파일을 다운로드하도록 되어 있어, MITM(중간자 공격) 에 취약함
• 소프트웨어가 다운로드된 파일의 서명 검증을 수행하지 않고 즉시 실행하는 구조로 되어 있음
• AMD는 이 문제를 “범위 외(out of scope)” 로 분류하고 보안 취약점으로 인정하지 않음
• 네트워크 공격자가 악성 실행 파일을 배포할 수 있는 위험이 존재함에도 불구하고, 패치가 제공되지 않는 점이 보안상 우려로 지적됨

AMD AutoUpdate의 RCE 취약점 발견 과정

• 새 게이밍 PC에서 주기적으로 나타나는 콘솔 창 문제를 추적하던 중, 원인이 AMD AutoUpdate 실행 파일임을 확인
• 프로그램을 디컴파일하는 과정에서 우연히 RCE 취약점을 발견
• 업데이트 URL이 app.config 파일에 저장되어 있으며, 프로덕션 환경에서도 개발용(Development) URL을 사용하고 있음
• 해당 URL은 HTTPS를 사용하지만, 실제 실행 파일 다운로드 링크들은 HTTP로 되어 있음

취약점의 기술적 문제

• HTTP를 통해 실행 파일을 다운로드하기 때문에, 네트워크 내 공격자나 ISP 수준의 공격자가 응답을 조작해 악성 파일로 교체 가능
• AutoUpdate 프로그램이 다운로드된 파일의 인증서나 서명 검증을 수행하지 않음
• 결과적으로 공격자가 임의의 실행 파일을 배포하고, 프로그램이 이를 즉시 실행할 수 있는 구조

AMD의 대응 및 보고 결과

• 취약점 발견 후 AMD에 보고되었으나, “수정하지 않음(won’t fix)” 및 “범위 외(out of scope)” 로 분류되어 종료
• AMD는 이 취약점을 보안 문제로 간주하지 않음
• 보고 및 공개 일정은 다음과 같음
  • 27/01/2026: 취약점 발견
  • 05/02/2026: AMD에 보고
  • 05/02/2026: “wont fix/out of scope”로 종료
  • 06/02/2026: 블로그 게시

보안적 함의

• HTTP 기반 업데이트 구조와 서명 검증 부재는 사용자 시스템을 원격 코드 실행 공격에 노출시킬 수 있음
• AMD가 이 문제를 수정하지 않기로 한 결정은 보안 커뮤니티 내 논란 가능성을 내포함
• 네트워크 공격자가 존재할 경우, 악성 코드 배포 경로로 악용될 위험이 있음