워드프레스 취약점 , 기업에서 워드프레스 도입시 유의할점
워드프레스 취약점
Table of Contents
1. 워드프레스 취약점이 무슨 말일까?
워드프레스 취약점이 문제다. 라는 이야기가 많습니다. 취약점이란게 과연 뭐에 취약하다는 것일까요?
쉽게 말해서 보안적으로 완벽하지 않다. 더 쉽게 말하면 해킹이나 악성코드에 피해를 입을 수 있는 취약점이 있다 정도로 생각하시면 됩니다. 워드프레스의 테마나 플러그인등은 그래서 항상 보안업데이트가 진행됩니다. 취약점이 발견되었다! 라는 것은 어디선가 구멍이 발견되었다는것이고 그걸 뚫어내는길을 막는 업데이트를 하게 됩니다. 창과 방패에서는 거의 창이 맘먹고 하면 이기니까요.
2.왜? 워드프레스만 특정해서 취약점이 많다고 할까?
여러가지 이유들이 있겠지만 저는 크게 두가지 정도로 생각하면 될거라고 봅니다.
첫째, 오픈소스 진영이기 때문입니다. 오픈소스라는것은 무료입니다. php언어를 기반으로 하는 워드프레스는 DB도 마찬가지고 많은 사람들이 편하게 사용할 수 있도록 무료입니다. 말그대로 오픈해서 누구나 쓰라고 되어 있는거죠. 그러면 유료면 안전할까요 유료라고 반드시 더 안전하다고 말씀드릴수는 없지만 유료 결제자를 대상으로 판매하는 것이기 때문에 최소한 적어도 검증은 훨씬 많이 되어있고 사용자의 수나 모니터링등이 가능하기 때문에 취약점(=구멍)의 갯수가 훨씬 적겠죠.
둘째, 너무 많이 사용하기 때문입니다. 우리가 모르는 수많은 플러그인이나 테마들 뿐 아니라 이 워드프레스라는거 자체가 계속 발견되는 취약점(=구멍)이 생기게 됩니다. 언젠가 말씀드렸지만 제가 회사에서 기업에 워드프레스 구축을 진행할때는 플러그인을 엥간하면 잘 사용하지 않습니다. 퍼포먼스의 문제도 있지만 믿을수없어서요. 다른것에 충돌도 마찬가지겠지만 소스를 다 뜯어보지 않는이상 뭘 어떻게 만들어졌는지 알수가없으니…
워드프레스만 취약점이 있는건 아니고 세상에 모든 웹사이트에는 취약점이 있겠지만 워드프레스는 오픈소스 영역이고 이것저것 확장성이 넓다보니 그만큼 구멍이 많이 보이게 됩니다.
이스트소프트의 알집이 문제가 많다고들 하는데 사용자가 겁나게 많아지면 그만큼 문제가 많이 생기는것과 같은 이치라고 할까요? 모든 소프트웨어는 그런 오류들을 잡아가고 사람의 편의성을 추구하느냐 안정도를 추구하느냐의 밸런스이기도 하니까요(두개다되면 베스트지만)
3. 기업에서 무엇을 주의해야하는가?
대부분 기업에서 워드프레스를 제작하려고 하는 경우의 담당자가 워드프레스에 대해 깊이 아는 경우가 많지 않습니다. 그래도 조금 아시는 분들은 보안팀이나 관련팀으로부터 코멘트를 받으셨는지 물어보시는게 바로 저 ‘워드프레스 취약점’관련된 질문입니다.
만약에 어떤 해커가 있어서 워드프레스를 해킹할려고 한다거나 악성코드를 심으려고 한다거나 한다면 그 워드프레스가 회원가입이나 이런 기능이 있지 않는 이상 워드프레스가 털려도 문제될건 업로드된 콘텐츠나 미디어라이브러리에 업로드한 이미지, 영상 같은 자료들일 겁니다. 문제는 이 워드프레스를 통해서 다른 기업의 내부사이트에 접속하거나 할수도 있다는 것이지요.
예전에 네이트해킹 사건이 알집 광고 모듈에 악성코드를 심어 놓고 그걸 다운로드 한 네이트내부 직원의 PC를 통해 서버에 접근해서 개인정보를 빼간사건이 있었죠. 그 내부직원은 어떻게 되었는지 모르겟지만 회사망이랑 연결된 PC에서 개인공개용 알집쓰다가 그랬으니…
그래서, 엥간한 기업내부의 IT부서들은 워드프레스라고 하면 일단 좋지 않게 보는것이 대부분입니다. ㅋㅋㅋ
저희는 크게 두가지 경우였습니다.
먼저 기본적으로 보안검수는 통과가 되야합니다. 거의 모든 대기업들은 내부에 보안검수 솔루션이 있고 디도스공격같은것도 해보고 사이트에 대해 이런저런체크를 하는 과정이 있는데 그런 보안검수는 당연히 통과가 되야 하구요.
첫번째의 경우는 아예 워드프레스 사이트 서버를 외부에 독립적으로 위치시키는 경우입니다. 그러니까 털려도 거기서만 털려라 우리 내부 서버에는 절대 발을 못들인다. 이런 케이스가 있고,
두번째의 경우는 내부 서버에 워드프레스를 위치시키는 경우입니다. 으응? 하실 수 있겠지만 이런곳은 대부분 관제나 보안관련해서 다른 팀이나 아웃소싱하는 업체들이 24시간 일을 하고 있기 때문이기도 합니다.
전자는 보통 저런 관제나 보안관련팀이 크지 않는경우에 맘편하게 털려도거기서 끝내라는 식이고 후자는 워드자체를 올리기도 쉽지가 않은 경우가 많습니다. 외부접속도 안되고 내부에 들어가서 작업을 해야하는 경우도 있구요.
암튼 조금 불안하시면 기업내부망에 워프를 두지 않는것도 방법이긴 합니다!