AMD가 조용히 지워버린 메모리 암호화, 내 라이젠은 안전할까?

조용히 사라진 보안 기능

혹시 내 컴퓨터의 메모리(RAM) 안에 들어있는 데이터가 암호화돼 있다는 거, 알고 계셨나요? AMD 라이젠 CPU에는 예전부터 메모리 암호화 기능이 들어 있었거든요. 그런데 최근에 AMD가 이 기능을 소비자용 라이젠 CPU에서 조용히 빼버렸다는 이야기가 나왔어요. 더 황당한 건, 사용자들에게 따로 공지도 없었고, 엔지니어들에게 물어봐도 입을 꾹 닫고 있다는 거예요. 보안 기능이 말없이 사라지는 것만큼 찜찜한 일도 없죠.

메모리 암호화가 뭔데요?

우리가 프로그램을 실행하면 데이터는 RAM에 올라가요. 그런데 이 RAM에 들어있는 내용은 보통 암호화가 안 된 '평문' 상태거든요. 그러니까 누군가 물리적으로 메모리 칩에 접근할 수 있으면 그 안의 내용을 그대로 읽을 수 있다는 거죠.

대표적인 공격이 '콜드 부트 어택(cold boot attack)'이에요. RAM은 전원이 꺼져도 아주 짧은 시간 동안 데이터가 남아있는데, 메모리를 차갑게 얼리면 이 잔류 시간이 더 길어져요. 그 틈에 메모리 모듈을 뽑아 다른 기기에 꽂으면 디스크 암호화 키나 비밀번호 같은 걸 통째로 빼낼 수 있거든요. 노트북을 도난당했을 때 특히 위험하죠.

AMD의 SME(Secure Memory Encryption)는 바로 이걸 막아주는 기능이에요. 메모리 컨트롤러 안에 AES 암호화 엔진을 넣어서, RAM으로 나가는 데이터를 자동으로 암호화해요. 암호화 키는 부팅할 때 하드웨어가 직접 만들고, 소프트웨어는 그 키를 절대 들여다볼 수 없어요. 특히 TSME(Transparent SME)라는 모드는 운영체제가 따로 뭘 안 해도 BIOS에서 켜기만 하면 메모리 전체를 알아서 암호화해줘서 편하고 강력했어요.

무엇이 바뀌었나

문제의 핵심은 'AGESA'라는 펌웨어예요. AGESA는 AMD가 메인보드 제조사들에게 나눠주는 CPU·메모리 초기화 펌웨어인데, 우리가 BIOS 업데이트를 하면 이 AGESA도 같이 업데이트돼요. 그런데 특정 버전 이후의 AGESA부터 소비자용 라이젠에서 메모리 암호화 옵션이 사라지거나 동작을 안 하게 됐다는 거예요.

여기서 진짜 무서운 점은요, 사람들이 보통 새 CPU 지원이나 안정성 개선, 혹은 다른 보안 패치 때문에 BIOS를 업데이트하잖아요. 그 과정에서 자기도 모르게 메모리 암호화를 잃어버리는 거죠. 보안을 위해 업데이트했는데 오히려 보안 기능이 빠지는, 좀 아이러니한 상황인 거예요. '내 PC는 메모리 암호화가 켜져 있으니 괜찮아'라고 믿고 있던 사람 입장에서는 방어선이 소리 없이 무너진 셈이고요.

업계 흐름에서 보면

메모리 암호화는 이제 업계 표준에 가까워지고 있어요. 인텔도 TME(Total Memory Encryption)라는 비슷한 기능을 가지고 있고, 애플 실리콘도 메모리 보호를 자체적으로 하고 있어요. 서버 쪽에서는 AMD EPYC의 SEV(Secure Encrypted Virtualization)처럼 가상머신 단위로 메모리를 암호화하는 기술이 클라우드 보안의 핵심으로 자리 잡았고요. 클라우드에 올린 내 VM의 메모리를, 같은 서버를 쓰는 다른 사람이나 심지어 클라우드 운영자조차 못 보게 막아주는 게 이런 기술이거든요.

이런 흐름에서 소비자용 제품의 메모리 암호화를 빼는 건 좀 역행하는 느낌이에요. 물론 AMD 입장에서는 소비자용과 서버용 기능을 일부러 차별화하려는 제품 전략일 수도 있고, 펌웨어 버그나 호환성 문제 때문일 수도 있어요. 하지만 어떤 이유든 '말없이' 빼고 '설명도 안 하는' 태도는, 보안 기능에 대해서는 특히 신뢰를 깎아먹는 일이죠.

한국 개발자에게는

당장 일반적인 웹 개발이나 앱 개발에는 큰 영향이 없을 수 있어요. 하지만 보안이 중요한 환경이라면 얘기가 달라져요. 예를 들어 민감한 데이터를 다루는 회사 노트북, 디스크 암호화(LUKS, BitLocker)를 쓰면서 물리적 탈취까지 신경 써야 하는 환경이라면요. 내 장비가 메모리 암호화를 지원한다고 믿고 있었는데 BIOS 업데이트 후에 슬쩍 빠졌다면, 우리가 가정하던 '위협 모델' 자체가 바뀌는 거니까요.

실무적으로는 이런 습관을 챙기면 좋아요. 첫째, BIOS를 업데이트하기 전후로 메모리 암호화 관련 설정이 그대로 남아있는지 확인하기. 둘째, 리눅스라면 dmesg나 관련 도구로 SME/TSME가 실제로 활성화돼 있는지 직접 점검하기. 셋째, 보안 요구사항이 빡센 환경이라면 펌웨어 변경 로그를 흘려보지 말고 꼼꼼히 읽기. 펌웨어 업데이트는 '무조건 최신이 좋다'가 아니라, 무엇이 바뀌는지 확인하고 적용하는 습관이 중요하다는 걸 새삼 일깨워주는 사례예요.

마무리

핵심은 이거예요 — 보안 기능은 조용히 사라질 때 가장 위험하다. 있는 줄 알고 안심하는 사이에 방어선이 무너져 있을 수 있거든요. 여러분은 BIOS나 펌웨어 업데이트를 할 때 변경 내역을 얼마나 꼼꼼히 확인하시나요? 그리고 제조사가 보안 기능을 공지 없이 바꾸는 것에 대해 어떻게 생각하세요?