우커머스 다중 통화 플러그인인 WooCommerce Multi Currency에서 최근 쇼퍼들이 상품 가격을 임의로 변경할 수 있는 치명적인 보안 취약점이 발견되어 업데이트되었습니다. 이 플러그인을 사용하는 경우 상점 내의 제품 가격이 악의적인 사용자에 의해 변경된 것이 없는지 체크하고 반드시 최신 버전으로 업데이트하시기 바랍니다.
우커머스 다중 통화 플러그인 WooCommerce Multi Currency 보안 업데이트
워드프레스 WooCommerce Multi Currency 플러그인
WooCommerce Multi Currency는 고객들이 통화를 변환하도록 허용하여 복수 통화로 결제를 받을 수 있도록 하는 우커머스용 플러그인입니다. 환율(exchange rate)은 자동 또는 수동으로 설정이 가능합니다. 이 플러그인은 고객의 지리적 위치를 자동으로 감지하여 가격을 고객의 현재 통화로 표시합니다.
이 플러그인의 환율 자동 업데이트 기능을 사용하여 자동으로 환율을 갱신하는 경우 매 30분, 1시간, 6시간, 1일, 2일, 3일, 1주 또는 1개월로 업데이트 간격을 설정할 수 있습니다.
이와 비슷한 플러그인으로 YITH에서 판매하는 YITH Multi Currency Switcher가 있습니다.
우커머스 다중 통화 플러그인 WooCommerce Multi Currency 보안 취약점 패치
Envato Market에서 판매되고 있는 우커머스용 다중 통화 플러그인인 WooCommerce Multi Currency에서 고객이 상점 내의 상품 가격을 변경할 수 있는 보안 문제가 발견되어 업데이트되었습니다.
Ninja Technologies Network에 의하면 이 플러그인의 2.1.17 이하에서 존재하는 액세스 제어 취약점은 Multi Currency의 "Import Fixed Price" 기능에 영향을 미치는데, 이 기능을 통해 쇼핑몰 사이트에서 커스텀 가격을 설정할 수 있어 환율에 의해 자동으로 계산되는 가격을 바꿀 수 있습니다.
NinTechNet 분석에 의하면 "임포트 함수인 import_csv()는 woocommerce-multi-currency/includes/import-export/import-csv.php 스크립트 내의 wmc_bulk_fixed_price AJAX 훅에 의해 로드"되는 데 "이 함수가 권한 체크(capability check)와 보안 nonce가 부족하여 우커머스 고객을 포함한 모든 인증된 사용자들에게 접근이 가능해진다"고 합니다.
이 문제를 악용하려면 사이버 공격자가 상품의 현재 통화와 상품 ID를 사용하는 특별한 형식으로 만든 CSV 파일을 사이트에 업로드할 수 있어야 합니다. 지정한 형식으로 된 CSV 파일을 업로드하면 1개 상품 또는 여러 상품의 가격을 변경할 수 있습니다.
이 취약점은 특히 디지털 상품을 판매하는 온라인 상점에 손해를 입힐 수 있습니다. 고객이 결제 후에 상품을 다운로드할 수 있는 시간이 있기 때문입니다. 백엔드에서 상품 가격이 변경되지 않았는지 각 주문을 확인하는 것이 좋습니다.
이 플러그인을 사용하는 경우 패치가 포함된 최신 버전인 2.1.18로 업데이트해야 합니다.
마치며
워드프레스를 안전하게 운영하려면 워드프레스 코어, 테마, 플러그인을 항상 최신 버전으로 업데이트하는 것이 중요합니다.
워드프레스에서는 보안 취약점이 발견되면 곧바로 일반인에게 공개되지 않고 테마 또는 플러그인 개발자에게 버그를 알려서 취약점이 수정된 패치를 내놓게 됩니다. 업데이트된 버전을 릴리스한 후 일정 기간이 지나면 취약점에 대한 자세한 정보가 공개됩니다.
그러므로 업데이트가 나왔을 때 곧바로 업데이트하면 해당 취약점으로 인한 피해를 예방할 수 있습니다. 업데이트를 적시에 하지 않을 경우 이를 악용한 악성코드(멀웨어)에 감염될 수 있습니다.
덧붙이는 말
참고로 이 WooCommerce Multi Currency 플러그인의 보안 취약점과 관련하여 국내의 보안 뉴스에 우커머스에 보안 취약점이 발견되어 쇼퍼들이 상품 가격을 임의로 변경할 수 있다는 기사가 올라왔습니다. 하지만 우커머스에 보안 취약점이 있는 것이 아니라 우커머스용 애드온 플러그인과 관련된 문제이고, 이 플러그인은 유료 플러그인으로 전 세계적으로 판매된 개수가 그리 많지 않은 편입니다. 또한, 위에서 설명했듯이 악의적인 사용자가 이 보안 취약점을 악용하려면 특정 조건이 만족되어야 합니다.
워드프레스에는 워낙 많은 테마와 플러그인이 있습니다. 워드프레스 자체는 보안에 강하지만 업데이트를 소홀히 하거나 보안 문제가 있는 테마나 플러그인을 사용할 경우 보안에 구멍이 생길 수 있습니다.
그리고 오랫동안 업데이트가 안 되고 방치된 플러그인은 사용하지 않는 것이 안전합니다. 예를 들어, 국내 개발자가 만든 BBS e-Popup 플러그인은 업데이트가 안 된지 3년이 넘었지만 아직도 많은 사용자가 사용하고 있습니다. 이 플러그인을 사용하는 경우 제거하고 다른 팝업 플러그인으로 교체하는 것이 바람직합니다("워드프레스 BBS e-Popup 플러그인 사용자 참고 사항(+팝업 오류)" 참고).
댓글 남기기