불만을 품은 보안업체가 페이스북이 만든 워드프레스 플러그인의 보안 결함 공개
최근 페이스북에서 공식적으로 배포한 두 개의 워드프레스 플러그인에서 제로데이 보안 취약점이 발견되어 수정되었습니다. 문제의 플러그인은 "Messenger Customer Chat"와 "Facebook for WooCommerce"로 각각 2만 명과 20만 명의 사용자가 사용하고 있습니다.
워드프레스에서는 WordPress.org 정책을 변경하여 보안 결함을 포럼을 통해 공개하는 것을 금지해 왔습니다. 대신 워드프레스 팀에 이메일을 보내어 해당 보안 결함을 보고하면 워드프레스 팀에서 플러그인 개발자에게 연락하여 문제를 시정하도록 합니다.
특정 플러그인의 보안 취약점을 무분별하게 공개할 경우 해커들에 의해 악용될 수 있으므로 이러한 정책이 합리적인 것 같습니다. 하지만 이러한 정책에 불만을 품고 보안 결함에 대한 상세한 정보를 공개하는 분별 없는 보안 전문가나 업체가 드물지만 있습니다. 특히, 인기 있는 플러그인에 대한 보안 결함을 무분별하게 공개한다면 해당 취약점이 패치되기까지의 기간 동안 해당 플러그인을 사용하는 사용자들의 사이트가 위험해질 수 있을 것입니다.
보안 취약점을 포럼에 공개하지 못하도록 하는 워드프레스의 정책에 불만을 품고 White Fir Design LLC("Plugin Vulnerabilities"라는 명칭으로 운영)라는 보안업체가 개념 증명(PoC) 코드를 포함하여 페이스북의 두 플러그인에서 발견된 보안 결함에 대한 상세한 정보를 공개했습니다.
Plugin Vulnerabilities 팀은 지난 몇 년 동안 규칙에 반하여 워드프레스 포럼에 보안 취약점을 공개하다가 포럼 계정이 금지당했다고 합니다. 하지만 이 팀은 워드프레스 포럼에서 게시물(Topic)을 생성하여 보안 결함을 사용자들에게 경고하는 대신 취약점에 대한 상세한 정보와 PoC 코드를 자신들의 사이트에 게재하면서 일이 커졌습니다.
이 업체는 이런 식으로 Easy WP SMTP, Yuzo Related Posts, Social Warfare, Yellow Pencil Plugin, WooCommerce Checkout Manager 등의 워드프레스 플러그인에서 발견된 보안 결함을 공개했습니다.
- Easy WP SMTP에서 제로데이 취약점 발견
- Yellow Pencil Visual Theme Customizer 플러그인의 제로데이 취약점 악용 증가
- WooCommerce Checkout Manager 플러그인에 보안 취약점 발견
Plugin Vulnerabilities 팀의 이러한 행태는 워드프레스 생태계(에코시스템)의 보안을 심각하게 저해하는 행위로 워드프레스 커뮤니티에서 환영받지 못하고 있는 것 같습니다. 다음 글에서는 이 업체의 이러한 행동은 비윤리적인 마케팅에서 기인한 것이라고 지적하고 있습니다.
페이스북이 만든 플러그인에서 발견된 보안 결함은 어느 정도의 사회 공학적 기법이 필요하기 때문에 그다지 위험하지 않다고 합니다. 실제로 Facebook for WooCommerce 플러그인은 (플러그인 저장소에서 제거되지 않고) 취약점이 공개된 지 한참 지난 후에 업데이트가 이루어졌습니다. 이 플러그인은 우커머스 공식 스토어 플러그인의 일부로 탑재되면서 4월 중순부터 사용자 수가 급증했지만 플러그인에 오류가 있고 업데이트가 제대로 되지 않아서 사용자 평점이 5.0 만점에 1.5로 매우 낮은 편입니다.
"Messenger Customer Chat" 또는 "Facebook for WooCommerce" 플러그인을 사용하고 있다면 반드시 최신 버전으로 업데이트하시기 바랍니다.