[Security Alert]: Polyfill.io Issue for Google Maps Platform users 보안 알림

Last Updated: 2024년 07월 01일 | 댓글 남기기

구글맵 표시를 위해 Google Maps API를 사용하는 경우 [Security Alert]: Polyfill.io Issue for Google Maps Platform users 제목의 알림을 최근 받았을 것입니다.

[Security Alert]: Polyfill.io Issue for Google Maps Platform users 보안 알림

Google Maps API를 사용하여 구글 지도를 홈페이지에 표시하고 있고 상기의 보안 알림을 받은 경우 문제가 되는 polyfill.io 라이브러리스가 사용되고 있지 않은지 확인하여 조치를 취해야 할 수 있습니다.

[Security Alert]: Polyfill.io Issue for Google Maps Platform users 보안 알림

아바다 테마가 적용된 워드프레스 사이트에 Google Maps API 키를 입력하여 구글 지도를 표시하는 사용자가 위와 같은 보안 경고를 받았다고 네이버 카페를 통해 알려왔습니다.

이 보안 알림은 모든 Google Maps Platform 사용자들에게 전송된 것 같습니다. 앞부분의 내용을 인용하자면 다음과 같습니다.

We’re writing to let you know that a security issue may be affecting websites using specific third-party libraries (including polyfill.io).

What happened
We have become aware of a security issue that may be affecting websites using specific third-party libraries (including polyfill.io). This issue can sometimes redirect visitors away from the intended website without website owner knowledge or permission, or potentially cause other malicious behavior. Many of the Maps JavaScript API samples in the Developer Documentation previously included a polyfill.io script declaration. We have removed this from those samples. If you have used the Maps JavaScript API samples that contain this declaration, we recommend removing the declaration.

특정 서드파티 라이브러리(polyfill.io 포함)를 사용하는 웹사이트에 영향을 미칠 수 있는 보안 문제에 대하여 알려드립니다.

이슈 개요

우리는 polyfill.io를 포함하는 특정 서드파티 라이브러리를 사용하는 홈페이지에 영향을 미칠 수 있는 보안 이슈에 대해 알게 되었습니다. 사이트 주인이 알지 못하거나 허락하지 않은 상황에서 방문자들을 의도된 사이트에서 다른 곳으로 리디렉션시키거나 기타 악의적인 동작이 발생할 수 있습니다.

이전에 Developer Documentation의 많은 Maps JavaScript API 예시에 polyfill.io 스크립트 선언이 포함되었습니다. 우리는 이러한 예시에서 해당 선언을 제거했습니다. 만약 이 선언이 포함된 Maps JavaScript API 예시를 사용하셨다면, 이 선언을 제거할 것을 권장합니다.

개발자 문서의 Maps JavaScript API를 사용하는 예시에 polyfill.io 라이브러리를 사용하는 방법이 포함되었지만, polyfill.io 라이브러리에 보안 취약점이 발견되어 polyfill.io 라이브러리가 언급된 예시들이 개발자 문서에서 제거된 것 같습니다.

워드프레스 보안 플러그인으로 유명한 Wordfence에서는 Polyfill.io를 사용하는 플러그인에 대하여 보안 경고를 발령했습니다.

대응 방법

Google Maps API 키를 사용하여 구글 지도를 워드프레스 사이트에 표시하는 경우 Polyfill.io 라이브러리가 사용되었는지 여부를 확인하시기 바랍니다. 가능한 경우, 이 보안 이슈의 영향을 받지 않음을 확인하기 전까지 구글 지도 기능을 일시적으로 비활성화하는 것올 고려할 수 있을 것입니다.

아바다 테마와 같이 Google Maps API 키를 통합하는 기능을 제공하는 경우 테마 판매자에게 문의할 수 있습니다. 플러그인을 사용하여 구글 지도를 표시하는 경우에는 해당 플러그인 개발자에게 연락하여 확인할 수 있습니다.

무료 구글 지도 플러그인으로 현재 40만 개가 넘는 워드프레스 사이트에 설치되어 사용되고 있는 WP Go Maps (이전 명칭 "WP Google Maps")가 있습니다. 이 플러그인의 개발자는 polyfill 라이브러리를 사용하지 않기 때문에 이 이슈의 영향을 받지 않는다고 플러그인 포럼을 통해 답변을 올렸습니다.

I am happy to report that this issue does not affect our plugin as we do not include the compromised library. More specifically, we do not use the polyfill library or any cloud based polyfill alternatives that are known to be compromised.

문제가 되는 라이브러리가 포함되어 있지 않기 때문에 우리 플러그인은 이 이슈의 영향을 받지 않습니다. 구체적으로 말씀드리지만, 우리는 polyfill 라이브러리나 보안 문제가 있는 것으로 알려진 어떠한 클라우드 기반의 polyfill 대체 요소를 사용하지 않습니다.

출처: https://wordpress.org/support/topic/google-maps-issue-polyfill-io/

Avada, Enfold 등 일부 테마에서도 polyfill 라이브러리가 사용되지 않고 있지 않음을 판매자가 밝혔습니다.

마치며

이상으로 구글의 [Security Alert]: Polyfill.io Issue for Google Maps Platform users 알림에 대하여 살펴보았습니다. 이러한 보안 알림을 받았다면 구글 지도를 표시하는 홈페이지에 문제가 되는 polyfill.io 라이브러리가 사용되고 있지 않은지 테마나 플러그인 개발자에게 문의해보시기 바랍니다.

그누보드, XE 등 다른 CMS(콘텐츠 관리 시스템)을 사용하는 경우에도 polyfill 라이브러리가 사용되는지 체크하여, 만약 사용되고 있다면 다른 라이브러리로 바꾸어야 사이트가 안전합니다.

보안 취약점이 있는 polyfill.io 라이브러리가 사용되는 경우 멀웨어에 감염되어 다른 사이트로 리디렉션되는 등의 문제가 발생할 가능성도 있습니다. 악성코드에 감염되면 제거가 쉽지 않고 시간과 비용이 소요될 수 있으므로 안전한 것으로 확인이 될 때까지 구글 지도 플러그인이나 테마에서 구글 지도를 표시하는 기능을 일시적으로 비활성화하는 것이 안전할 수 있습니다.

만약의 사태에 대비하여 사이트 전체 백업을 정기적으로 하여 PC나 클라우드 스토리지 등에 저장하는 것도 고려해보세요.

참고


댓글 남기기

Leave a Comment