웹사이트 제작 및 관리를 위한 워드프레스(WordPress)의 플러그인 중 하나인 얼티밋 멤버(Ultimate Member)에서 치명적인 취약점이 발견되어 사용자들의 주의가 요구되고 있습니다. 이 취약점은 SQL 인젝션 취약점으로, 공격자가 이를 이용하여 웹사이트의 중요한 데이터를 탈취하거나 공격하는 데 사용할 수 있습니다. 이에 따라 워드프레스는 이 취약점을 패치한 보안 업데이트를 발표하였습니다.
워드프레스는 웹사이트를 만들고 콘텐츠를 관리할 수 있도록 돕는 프로그램으로, 다양한 플러그인을 통해 사용자들의 요구에 맞게 확장이 가능합니다.
이 중 얼티밋 멤버라는 플러그인은 웹사이트에 회원 기능을 추가하고 사용자 프로필을 관리하는 데 도움을 주는 플러그인으로, 회원 관리를 손쉽게 할 수 있어 약 20만 건 이상 다운로드 받았습니다. 이런 인기 있는 플러그인에서 위험도 9.8점의 매우 높은 취약점(CVE-2024-1071)이 발견되어 보안 전문가들의 경고를 받고 있습니다.
이 취약점은 SQL 인젝션 취약점으로, 데이터 정렬을 위해 사용자 입력값의 SQL 구문 검증이 존재하지 않아 발생하며 이를 악용하면, 인증되지 않은 공격자가 악의적인 명령을 통해 공격을 시도하고, 민감한 데이터를 탈취할 위험이 있습니다.
이로 인해 워드프레스는 취약점을 패치한 보안 업데이트를 발표하였고, 사용자들에게는 이를 반드시 최신버전으로 업데이트해야 한다는 경고를 내보냈습니다.
워드프레스의 보안기업인 워드펜스(Wordfence)는 이미 위 취약점을 겨냥한 300건 이상의 공격을 차단했다고 밝혔습니다.
워드프레스 사용자들은 웹페이지 제작 및 관리를 위해 다양한 플러그인과 연동하게 되는데, 이 중 일부 플러그인에서 발견되는 취약점으로 인해 보안 이슈가 지속적으로 발생하고 있습니다.
2024년에만 위험도가 높은 취약점이 약 3건 이상 발견되었기 때문에, 워드프레스는 워드펜스나 플러그인 검토 팀(Plugin Review Team)을 운영하여 이런 취약점을 관리하고 있습니다. 하지만 플러그인의 특성상 누구나 만들고 추가할 수 있어, 보안팀이 모든 플러그인을 검증하기에는 어려움이 따름이며 저의 경우 워드펜스는 무거워서 필요할 때만 활성화 하며 그 외에는 ITHEMES SECURITY 주로 사용하고 있습니다.
이에 티오리의 강우원 연구원은 “플러그인을 설치할 때는 공식 웹사이트 등에서 신뢰할 수 있는 곳에서만 내려받아야다”며 “다운로드 전에 다른 사용자의 리뷰를 통해 보안 문제가 있는지 확인하고, 사용하지 않는 플러그인은 공격의 표적이 될 수 있으므로 필요한 플러그인만 설치하고, 새롭게 발견는 취약점에 대비하여 항상 최신 버전으로 업데이트야 한다”고 안전한 플러그인 설치 및 관리 방을 설명하였습니다.
웹사이트를 운영하는 사용자들은 플러그인의 취약점으로 인한 공격을 막기 위해, 항상 최신 버전의 플러그인을 사용하도록 주의해야 합니다. 또한 공식 웹사이트 등뢰할 수 있는 곳에서만 플러그인을 다운로드 받는이 중요하며, 사용하지 않는 플러그인은 제거하여필요한 위험을 줄여야 합니다. 이런 신중한 관리를 통해 웹사이트의 안전성을 높여 나가길 바랍니다.