Home > 전체기사

[주말판] 워드프레스 사이트 운영자들을 위한 보안 팁 7

  |  입력 : 2021-01-23 14:17
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
워드프레스는 전 세계 웹사이트의 1/3을 차지하는 플랫폼이다. 그래서 매일처럼 이 생태계에서는 취약점이 발굴되고 사고가 발생한다. 따라서 ‘안전하게 활용하는 방법’을 숙지하는 게 중요하다. 그 방법들을 전문가들이 몇 가지로 추려주었다.

[보안뉴스 문가용 기자] 워드프레스(WordPress)를 기반으로 한 웹사이트들은 세계 모든 웹사이트들의 1/3 이상을 차지한다. 그래서 워드프레스 생태계에서는 크고 작은 사건들이 끊이지 않는다. 보안 업체 ISE의 테드 해링턴(Ted Harrington)은 “워드프레스가 오픈소스를 기반으로 하고 있고 많은 사람들이 사용하고 있으니 안전할 거라고 믿어버리는 사람들이 너무 많다”고 지적한다.

[이미지 = utoimage]


이 믿음은 작년 한 해만으로도 충분히 배신을 당했다. 작년에 발견된 취약점들로만 150만 개가 넘는 워드프레스 웹사이트가 공격을 당했다. “특히 워드프레스 플러그인들이 문제인 경우가 많다”고 K2 사이버 시큐리티(K2 Cyber Security)의 티모시 치우(Timothy Chiu)는 설명한다. 현재 워드프레스의 기능을 강화시켜준다고 하는 플러그인은 총 5만 개가 넘는다. 그리고 이 플러그인들에서 취약점은 계속해서 나오고 있는 상황이다. 안전하게 사용할 줄 아는 것이 중요하다.

1. 위협 모델을 개발하라
해링턴은 “진짜로 보호해야 할 것이 무엇인지 한 발 뒤에 서서 고민해 보는 조직들은 얼마 되지 않는다”고 지적한다. “워드프레스 사이트를 마련했고, 보호해야 할 차례라면 제일 먼저 위협 모델링부터 해야 합니다. 회사로서 보호해야 할 것은 무엇인지, 그 보호해야 할 자산을 위협할 수 있는 건 무엇인지를 파악하라는 것이죠. 예를 들어 국가 지원 해커들이 노릴만한 지적 재산을 가지고 있다면 그것을 위주로 보호 방안을 구상해야 합니다.”

2. 업데이트와 패치는 늘 확인하고 적용한다
포네몬(Ponemon)에 의하면 60%의 정보 유출 사고가 패치를 통해 충분히 막을 수 있었던 것들이라고 한다. 이는 워드프레스 기반 웹사이트들에 특히나 잘 적용되는 이야기다. 관리자들은 주기적으로 OS, 웹 서버, 워드프레스 환경(플랫폼과 플러그인 전부)을 업데이트해야 한다고 치우는 강조한다. “워드프레스를 기반으로 사업을 하고 있다면 최신화에 대한 강박관념 같은 게 있어야 됩니다. 특히 플러그인을 사용하고 있다면 더 그렇습니다. 워드프레스에서는 90% 이상 플러그인이 문제가 된다는 걸 기억해야 합니다.”

3. 비밀번호와 접근 경로를 관리한다
워드프레스 생태계 내에 있는 모든 비밀번호를 디폴트 외 다른 것으로 설정한다. 보안 업체 페리미터엑스(PerimeterX)의 아밋 나이크(Ameet Naik)는 “1234567이나 password 같은 건 절대적으로 피해야 한다”고 강조한다. “비밀번호 관리자 프로그램을 사용하는 것도 좋은 방법입니다. 3개월에 한 번씩 길고 어려운 비밀번호를 재설정하면서 기억력에만 의존하는 건 꽤나 지치는 일이거든요.”

더 좋은 건 이중 혹은 다중 인증 시스템을 도입하는 것이다. “오시(Authy), 구글 오센티케이터(Google Authenticator) 같은 앱을 사용하는 것도 좋고 단문이나 이메일을 활용한 이중 인증도 비밀번호보다는 충분히 강력합니다.”

치우는 “근무자가 특정 장소에 있지 않거나, 특정한 상황에 처해있지 않은 상황에서는 접속하지 못하도록 접근 방식을 관리하는 것도 안전한 방법 중 하나”라고 덧붙인다. “그러면서 자연히 퇴사자들에 대한 관리도 이뤄질 수 있게 됩니다. 의외로 많은 기업들이 퇴사자들의 사이트 접속을 그냥 허용하고 있습니다.”

4. 애플리케이션 보안이 정말 중요하다
워드프레스 플러그인이 가장 중요한 공격 경로라는 건 여러 번 언급했다. 플러그인들은 주로 PHP라는 언어로 개발된다. 그런데 이 PHP는 OWASP이 선정한 10가지 최악의 웹 애플리케이션 위험 요소들에 특히 많이 노출되어 있다고 알려져 있다고 치우는 설명한다. “OWASP이 선정한 웹 애플리케이션 취약점들을 기반으로 앱 보안 전략을 수립하면 상당히 큰 도움이 될 수 있습니다. 위험 완화 전략은 늘 잘 알려진 것들부터 시작해야 하지요.”

실제로 워드프레스 환경에서 문제가 되는 취약점들 대부분은 교차 사이트 스크립팅(XSS)이나 원격 코드 실행 공격으로 이어지는 것들이고, 따라서 보안 담당자들이 흔히 접하고 잘 이해하고 있는 것들이다. 치우는 “플러그인이 주로 문제가 되지만, 그 문제들이라는 게 종류가 한정되어 있고 보안 담당자들이 어렵게 느끼는 것들이 아니”라는 걸 강조했다.

5. 새로운 NIST SP 800-53 가이던스를 점검하라
미국 NIST는 지난 9월 NIST SP 800-53이라는 문건을 개정했다. 앱 보안과 관련된 내용이 대규모로 업데이트 되었다. 치우는 “특히 런타임 애플리케이션 자가 방어(RASP)와 인터랙티브 애플리케이션 보안 점검(IAST)이 개정을 통해 강조되었다”며 “워드프레스 사이트 운영자들이라면 반드시 참조해야 한다”고 말한다.

“RASP은 애플리케이션과 같은 서버에 위치하며 지속적인 보안 서비스를 런타임 동안 제공하기 때문에, 외곽만 보호하는 웹 애플리케이션 방화벽과는 또 다른 차원의 보호 성능을 가지고 있다고 볼 수 있습니다. 앱과 같은 서버에 있으니 RASP은 애플리케이션 내부에 대한 가시성까지 제공하지요. 또한 애플리케이션의 행동 패턴에 대한 컨텍스트도 파악하기 쉽고요.”

한편 IAST는 애플리케이션 개발과 좀 더 밀접한 보호 장치라고 치우는 설명한다. “개발자들이 애플리케이션을 실제로 출시하기 전에 보안 오류들을 잡아내도록 돕기 위해 만들어진 게 IAST입니다. 개발자와 보안 담당자가 같이 봐야 할 부분입니다.”

6. 설계, 스캔, 확인
해링턴은 “모든 조직들이 항상 조직적인 방법으로 워드프레스 사이트를 관리하는 건 아니”라고 말한다. 그러면서 그는 세 가지 절차를 제안한다. “설계 분석, 스캔 실행, 알려진 취약점 확인”이다. “간단한 게시글과 공지를 올리는 용도로 워드프레스를 사용한다면, 이 세 가지 절차만 잘 이행해도 어느 정도 안전할 수 있습니다. 온라인 거래나 영상 콘텐츠를 다루는, 좀 더 복잡한 경우에도 이 세 가지를 기본적으로 실시하는 편이 좋습니다.”

해링턴에 의하면 설계 분석이란 먼저 사이트가 작동하는 방식과 구성 원리를 이해하는 것이다. 사이트의 구조가 머릿속에 지도처럼 그려져야 한다는 게 그의 표현이다. 이 지도라는 건 애플리케이션이 추가되거나 삭제되고, 사용자들이나 직원들에 변경이 생길 때마다 변하므로 늘 최신화해야 한다고 한다. 그런 다음에는 사이트를 주기적으로 스캔해야 한다. “공격자들도 사이트를 공격하기 전에 스캔부터 합니다. 그러니 공격자 입장에서 사이트를 볼 수 있게 해 주는 첫 번째 행위가 바로 스캔입니다.”

스캔을 마쳤다면 이미 알려진 취약점들이 존재하는지 점검해야 한다. 워드프레스 사이트의 경우 원격 코드 실행과 XSS 취약점이 특히 많으니 운영자들은 이 두 가지 취약점들을 염두에 두고 취약점 점검을 하는 편이 효율적이라고 그는 강조했다.

7. 틀을 벗어난 생각
위 세 가지 절차를 밟아 사이트를 점검했다면, 그 다음은 좀 더 적극적인 ‘어뷰징’을 시도해볼 차례다. “간단하게 말해 정상적으로 제공되는 기능들을 이상하게 사용해 보는 겁니다. 예를 들어 사용자가 20자 정도 입력해야 되는 필드에 2000자를 넣어본다든지 하는 식으로 말입니다. 아니면 숫자와 글자를 입력해야 하는 필드에 명령을 대입해볼 수도 있겠죠.”

다음으로는 공격자들의 ‘연쇄적인 익스플로잇’이 어떤 방식으로 작동하는지를 이해해야 한다. 즉 어떤 취약점들을 어떤 순서와 방식으로 통합 활용함으로써 보안 문제를 일으킬 수 있는지 연구하고 검토해야 한다는 것이다. 예를 들어 사용자의 ID를 알아낸 공격자가 비밀번호 리셋 기능을 악용할 수 있는지 확인하는 과정이 필요하다는 뜻이라고 해링턴은 설명한다.

“즉 이것은 알려진 취약점들에 대한 점검과 대비를 마친 상태에서, 이 취약점들을 익스플로잇 하는 ‘알려지지 않은 방법들’에 대해 고민하는 과정이라고 볼 수 있습니다. 상상력이 필요하죠. 해커들의 마음으로 사이트의 공격 방식을 상상해보는 것은 보안 점검의 최종 단계이지만, 거의 항상 간과되는 부분이기도 합니다. 대부분은 이 과정의 한 끝이 모자라서 사고가 발생하지요.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

조현정 2021.02.12 13:44

워드프레스 사이트 운영자들을 위한 보안 팁 7가지를 통해 워드프레스 사이트 운영자들에게 정말 유익한 기사인 것 같습니다. 다양한 방안들로 발전할 수 있길 응원합니다.


  •  SNS에서도 보안뉴스를 받아보세요!! 
2021 전망보고서넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
과기정통부가 발표한 ‘K-사이버방역 추진전략’ 8대 과제 가운데 가장 시급하고 중요하게 해결해야 할 과제는?
사이버보안 대응체계 고도화
수요자 중심 디지털보안 역량 강화
차세대 융합보안 기반 확충
신종 보안위협 및 AI 기반 대응 강화
디지털보안 핵심기술 역량 확보
정보보호산업 성장 지원 강화
디지털보안 혁신인재 양성
디지털보안 법제도 정비