지금 워드프레스로 웹사이트를 운영하고 있다면 가능한 한 빨리 '젯팩(Jetpack)' 플러그인을 업데이트해야 한다. 공격에 노출될 수 있는 심각한 보안 결함이 발견됐기 때문이다.
젯팩은 무료 웹사이트 최적화, 관리, 보안 기능 등을 제공하는 유명 플러그인이다. 워드프레스닷컴을 운영하고 워드프레스 오픈소스 프로젝트에 참여하고 있는 ‘오토매틱(Automattic)’ 사가 개발했다. 현재 100만 개 이상의 실제 운영 중인 웹사이트가 이 플러그인을 사용한다.
웹 보안 업체 수커리(Sucuri)의 연구원은 최근 젯팩에서 XSS(cross-site scripting) 보안 결함을 발견했다. 2012년에 나온 2.0 버전 이후 모든 버전이 이 결함을 갖고 있다. 이 문제는 ‘단축코드 임베드(Shortcode Embeds)’ 젯팩 모듈에서 발생했다. 사용자가 외부 비디오와 이미지, 문서, 트윗을 내장해 다른 리소스를 현재 콘텐츠에 삽입할 수 있도록 하는 기능인데, 여기에 존재하는 취약점을 이용하면 댓글에 악의적인 자바스크립트 코드를 넣을 수 있다.
자바스크립트 코드는 잠복기가 기므로 사용자가 이 악의적인 코드가 담긴 코멘트를 볼 때마다 사용자의 브라우저에서 실행된다. 이렇게 실행된 스크립트는 사용자의 인증 쿠키를 훔치는 역할을 할 수 있다. 여기에는 SEO(Search Engine Optimization) 스팸을 추가하거나 방문자를 다른 곳으로 이동시키는 관리자 세션도 포함된다.
수커리의 연구원 마크 알렉산드레 몬트파스는 블로그를 통해 “이 취약점은 워드프레스 코멘트 기능을 통해 쉽게 악용될 수 있으므로 아직 젯팩을 업데이트하지 않았다면 가능한 한 빨리 업데이트해야 한다”고 밝혔다. 단, 단축코드 임베드 모듈을 사용하지 않는 사이트는 이 취약점의 영향을 받지 않는다. 그러나 워낙 유명한 기능이어서 많은 웹사이트가 이 모듈을 활성화해 사용하고 있을 것으로 보인다.
젯팩 개발업체는 워드프레스 보안 팀과 함께 워드프레스 핵심 자동 업데이트 시스템을 통해 영향을 받는 모든 버전에 업데이트 알림을 보냈다. 젯팩 버전 4.0.3 이상 버전은 이 취약점을 해결했다. 업체는 최신 버전으로 업그레이드하고 싶지 않은 사용자를 위해 젯팩 데이터베이스에 역대 릴리즈 21개 모두에 대해 이 취약점을 수정한 파일을 올려뒀다. 구체적으로는 2.0.7, 2.1.5, 2.2.8, 2.3.8, 2.4.5, 2.5.3, 2.6.4, 2.7.3, 2.8.3, 2.9.4, 3.0.4, 3.1.3, 3.2.3, 3.3.4, 3.4.4, 3.5.4, 3.6.2, 3.7.3, 3.8.3, 3.9.7 그리고 4.0.3 버전이다. dl-ciokorea@foundryco.com
