유명 워드프레스(Worpress) 플러그인인 팬시 프로덕트 디자이너(Fancy Product Designer)가 심각한 보안 취약점 두 가지를 방치해 수많은 웹사이트가 해킹 위험에 노출된 것으로 밝혀졌다. 이 플러그인을 사용하는 전자상거래 사이트는 공격에 취약하며, 해당 결함은 1년 가까이 수정되지 않아 비판을 받고 있다.
팬시 프로덕트 디자이너는 온라인에서 의류, 머그컵, 휴대폰 케이스 등을 사용자 맞춤형으로 디자인할 수 있게 해주는 플러그인으로, 현재까지 2만 개 이상의 판매 기록을 보유하고 있다. 하지만 이 플러그인에는 두 가지 심각한 취약점이 존재하며, 이로 인해 사용자 데이터와 시스템 보안이 위협받고 있다.
첫 번째 취약점은 CVE-2024-51919로, CVSS 점수 9.0을 기록했다. 이 취약점은 파일 업로드 기능의 보안이 취약해 공격자가 인증 없이 악성 파일을 업로드할 수 있는 문제다. 'save_remote_file'과 'fpd_admin_copy_file'이라는 함수가 파일 형식을 제대로 검증하지 않아 원격 코드 실행(RCE)까지 가능하게 한다.
두 번째 취약점은 CVE-2024-51818로, CVSS 점수 9.3으로 더 심각한 문제다. 이 취약점은 SQL 인젝션(SQL Injection) 문제로, 'strip_tags' 기능이 사용자 입력값을 제대로 필터링하지 못해 데이터베이스 쿼리에 직접적으로 통합된다. 이를 악용하면 데이터베이스의 데이터 유출, 수정, 삭제가 가능하다.
이 취약점은 2024년 3월 17일, 보안 전문업체 패치스택(Patchstack)의 연구원 라피 무하마드가 발견했다. 발견 후 하루 만에 개발사 라디칼(Radykal)에 문제를 신고했지만, 개발사는 아무런 응답도 조치를 취하지 않았다.
이후 20번에 걸쳐 플러그인 업데이트가 이루어졌으나, 가장 최근 버전인 6.4.3(2개월 전 출시)에서도 해당 취약점은 여전히 수정되지 않았다. 이에 패치스택은 2025년 1월 6일 취약점을 데이터베이스에 추가하고, 블로그를 통해 관련 내용을 공개해 사용자들에게 경고했다.
팬시 프로덕트 디자이너를 사용하는 전자상거래 웹사이트는 이 취약점으로 인해 데이터 유출, 서버 침해, 랜섬웨어 공격 등 심각한 피해를 입을 가능성이 크다. 특히 패치스택이 공개한 기술적 정보는 공격자가 이를 악용해 실제 공격을 감행할 가능성을 높인다.
패치스택과 보안 전문가들은 플러그인을 사용하는 웹사이트 관리자들에게 다음과 같은 조치를 권고했다.
-임의 파일 업로드 방지: 안전한 파일 확장자만 허용하는 허용 목록(allowlist)을 설정해야 한다.
-SQL 인젝션 대응: 데이터베이스 쿼리의 입력값을 철저히 검증하고 적절한 이스케이프 처리를 해야 한다.
-정기적인 보안 점검: 플러그인 업데이트 상태를 주기적으로 확인하고 새로운 취약점 발생 여부를 모니터링해야 한다.
-대안 플러그인 고려: 개발사가 문제를 해결하지 않는 상황에서 보안이 보장된 대안 플러그인을 사용하는 것도 방법이다.
보안 전문가들은 "개발사가 취약점 신고에 응답하지 않을 경우, 사용자가 적극적으로 보안 강화를 위해 움직여야 한다"고 강조했다. 팬시 프로덕트 디자이너를 대체할 플러그인 또는 커스텀 솔루션으로 전환하는 것도 장기적인 해결책으로 제시됐다.
★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★
