백업을 도와주는 플러그인인 백업버디에서 위험한 취약점이 발견됐다. 이미 14만 개 웹사이트에 설치되어 있었다고 하니, 문제가 작지 않다. 다행히 플러그인 개발사 측에서 이미 패치를 개발해 내놓은 상태다. 워드프레스 운영자들이 소식을 접하고 적용만 하면 된다.
[보안뉴스 문가용 기자] 공격자들이 워드프레스의 유명 플러그인인 백업버디(BackupBuddy)의 취약점 하나가 지속적인 공격에 노출되어 있다. 이 플러그인은 대략 14만 개의 웹사이트에 설치되어 있을 정도로 사용자들 사이에서 인기가 높다.
![[보안뉴스 / 9.13.] 유명 워드프레스 플러그인 백업버디에서 초고위험도 취약점 나와](http://www.boannews.com/media/upFiles2/2022/09/910673154_6548.jpg)
[이미지 = utoimage]
문제의 취약점은 공격자가 임의의 파일을 읽고 다운로드할 수 있도록 해 주는 것이며, 초고위험도로 분류됐다. 익스플로잇에 성공한 공격자가 웹사이트 설정 정보나 각종 민감 정보가 담긴 파일을 추출하면 여러 가지 피해가 이어질 수 있다. 예를 들어 비밀번호와 관련된 파일이 공격자의 손에 들어갈 경우 그 비밀번호를 사용해 로그인 하는 다른 서비스나 계정들에 대한 침해로도 공격이 확장될 수 있다.
워드프레스 생태계 보안 전문 회사인 워드펜스(Wordfence)에 의하면 백업버디 익스플로잇 공격은 8월 26일부터 시작됐고, 현재까지 약 500만 번의 공격 시도를 막았다고 한다. 백업버디는 아이심즈(iThemes)라는 회사에서 개발한 것으로, 9월 2일 문제를 파악하고 곧바로 패치를 배포하기 시작했다. 공격이 시작되고서 1주일이 지난 시점이었다. 따라서 일부 워드프레스 사이트들은 패치 전에 이미 피해를 받았을 가능성이 있다.
디렉토리 변경 버그
아이심즈가 자사 웹사이트를 통해 설명한 바에 의하면 백업버디 8.5.8.0~8.7.4.1 버전까지가 취약점의 영향권 아래 있다고 한다. 그러면서 백업버디 8.75 버전으로의 업그레이드를 아이심즈는 강조했다. “공격자들은 이 취약점을 이용하여 서버 내 모든 파일을 열람할 수 있게 되며, 따라서 민감한 정보 일부가 외부로 새나갈 수 있게 됩니다.”
또한 아이심즈는 웹사이트가 이미 침해되었는지 살펴볼 수 있도록 가이드라인을 제공하기도 했다. 대표적인 제안은 다음과 같았다.
1) 데이터베이스 비밀번호 변경
2) 워드프레스 설트 변경
3) API 키 및 각종 사이트 설정 옵션 재설정
한편 워드펜스 측은 공격자들이 wp-config.php와 etc/passwd 디렉토리 내 파일들을 주로 열람하고 있다는 것을 발견했다고 경고했다.
워드프레스 플러그인 보안, 도무지 끝날 줄 모르는 문제
백업버디 취약점은 워드프레스 생태계에서 발견되고 있는 수많은 문제들 중 하나에 불과하다. 최근 수년 동안 워드프레스 플러그인에서는 각종 사건사고가 끊임없이 일어나는 중이다. 아이심즈도 올해 초 보고서를 통해 2021년 발견된 워드프레스 취약점들이 1628개였다고 발표했다. 이중 97%가 플러그인에서 발견된 것이었다. 또한 절반 가까이(47.1%)가 최소 고위험군이었다. 심지어 아직 패치가 없는 플러그인이 23.2%나 되었다. 이제 절반도 지나지 않은 9월의 경우만 해도 워드프레스 관련 취약점이 수십 개 발굴되고 있다.
워드프레스 생태계를 괴롭히는 건 취약한 플러그인만이 아니다. 처음부터 악의적으로 제작된 플러그인들도 문제다. 조지아공과대학에서 40만 개의 웹사이트를 분석했을 때 악성 플러그인이 무려 4만 7337개 발견됐다. 이 플러그인들은 2만 4931개 웹사이트에 설치되어 있었고, 거의 대부분 활성화 되어 있는 상태였다.
보안 업체 주피터원(JupiterOne)의 CISO인 순일 유(Sounil Yu)는 “사실 플러그인이라는 체제를 활용하고 있는 모든 생태계에서 비슷한 문제가 발견되고 있다”며 “서드파티 요소들을 통해 기능을 계속해서 추가한다는 것 자체에 어쩔 수 없는 보안 리스크가 따라올 수밖에 없다”고 설명한다. “스마트폰들도 알고 보면 서드파티를 통해 기능들을 계속 추가하는 생태계를 가지고 있죠. 우리는 그것을 앱이라고 부르고요. 이 앱들을 통해 발생하는 각종 보안 사고들을 생각해 보면 워드프레스 생태계가 그리 특별한 게 아니라는 걸 이해할 수 있습니다.”
보안 업체 비아쿠(Viakoo)의 CEO인 버드 브룸헤드(Bud Broomhead)는 “워드프레스 사이트가 대부분 마케팅이나 웹 디자인 전문가들 사이에서 인기가 높지, IT나 보안 담당자가 사용하는 경우는 드물다는 것도 워드프레스 생태계의 취약점”이라고 지적한다. “워드프레스는 설치, 설정, 활용이 매우 쉽고 간단합니다. 플러그인도 마찬가지고요. 그렇기 때문에 일반인들이 즐겨 사용하고 아무 플러그인이나 거리낌 없이 설치하려는 태도를 보입니다. 그리고 그 과정이 너무 쉽기 때문에 삭제할 생각은 잘 하지 못하죠. 공격 표면이 굉장히 넓어졌다는 사실을 모를 수밖에 없습니다.”
브룸헤드는 “사실 워드프레스 측에서는 보안 경고를 숨김 없이, 자주 발표한다”며 “관리자가 취약점과 패치에 조금만 신경을 써도 모를 수가 없다”고 강조한다.” 그렇기 때문에 “늘 소식을 확인하여 패치를 부지런히 적용할 필요가 있다”는 것이다. “각 조직에서 워드프레스 운영 담당자들에게 취약점 소식을 확인하는 방법과 패치 방법 정도는 꾸준히 교육할 필요가 있습니다.”
3줄 요약
1. 인기 높은 워드프레스 플러그인 백업버디에서 초고위험도 취약점 발견됨.
2. 이 취약점을 익스플로잇 하면 웹사이트 서버 내 아무 파일이나 열람할 수 있음.
3. 워드프레스 외에도 서드파티로 기능을 자꾸 추가하는 체계에서는 위험한 면적이 넓어질 수밖에 없음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
![[보안뉴스 / 9.13.] 유명 워드프레스 플러그인 백업버디에서 초고위험도 취약점 나와](https://mlsixs8vyvqc.i.optimole.com/U4pfbHs.KYFx~5c965/w:300/h:66/q:auto/https://cybersecurity.re.kr/wordpress/wp-content/uploads/2021/05/연구회-footer-로고.png "연구회 footer 로고")
