수백만개의 워드프레스 기반 웹사이트들의 댓글달기 기능이 심각한 보안취약점에 노출돼 있었던 것으로 나타났다. 워드프레스측은 27일 이 문제를 해결한 4.2.1 버전을 새롭게 내놓았으나 이전 버전들에서는 여전히 해당 취약점들이 적용될 수 있는 것으로 확인됐다.
27일(현지시간) 미국 지디넷에 따르면 핀란드 소재 보안회사 클리키 오이(Klikki Oy) 소속 보안연구원 조우코 피노넨은 자신의 블로그에 크로스사이트스크립팅(XSS)이라는 공격수법에 대한 개념증명(POC)을 통해 워드프레스 3.9.3, 4.1.1, 4.1.2, 4.2 버전에서 공격자가 워드프레스 기반 웹사이트에서 관리자의 비밀번호를 바꾸고, 새로운 관리자 계정을 생성하는 방법으로 전체 서버를 장악할 수 있는 취약점을 발견했다고 밝혔다.
이 취약점은 웹사이트 내에 댓글달기 부분에 64킬로바이트(kb) 이상 장문의 텍스트(자바스크립트)를 입력하는 방법을 썼다. 워드프레스는 기본설정 상 사용자의 댓글을 승인하기 전까지는 이를 공개하지 않는다. 관리자가 해당 댓글을 확인하는 순간 백도어가 심어지고, 공격자는 관리자 권한을 얻게 된다.
피노넨은 2014년 11월에 취약점을 발견해 이메일 등을 통해 관련 내용을 알렸지만 워드프레스측이 이와 관련한 어떤 커뮤니케이션도 거절했었다고 밝혔다. 문제가 심각해지면서 뒤늦게 보안업데이트가 이뤄졌다는 설명이다.
관련기사
- CMS툴 워드프레스-웹사이트베이커서 취약점 급증2015.04.28
- 워드프레스도 해킹위험 높아져2015.04.28
- 워드프레스 플러그인 취약점 주의2015.04.28
- 플랫폼 곳곳에 쓰이는 AI…"삶이 더 편해진다"2024.04.26
