Offcanvas

검색|인터넷 / 보안

유명 메일 라이브러리 'PHP메일러'서 치명적 보안 취약점 발견

2016.12.30 Lucian Constantin  |  IDG News Service
널리 사용되는 PHP 이메일 전송 라이브러리 중 하나인 'PHP메일러(PHPMailer)'에서 치명적인 '원격 코드 실행' 보안 취약점이 발견됐다. 웹사이트 수백만 개가 위험에 노출될 수 있다는 분석이다.


Image Credit: Michael Kan

이 보안 취약점은 다위드 고런스키라는 보안 전문가가 처음 발견했다. 이후 이를 수정한 PHP메일러 5.2.18 버전이 지난 24일 공개됐다. 그러나 패치가 완벽하지 않고 취약점이 악용될 가능성이 여전한 것으로 드러났다.

PHP메일러 라이브러리는 워드프레스(WordPress)와 줌라(Joomla), 두루팔(Drupal) 등 많은 CMS(Content Management System)에서 직간접적으로 사용된다. 핵심 코드에 포함된 것은 아니며 일반적으로 별도 모듈 또는 서드파티 애드온으로 추가해 사용한다. 이 때문에 이번 취약점의 파장은 광범위할 수 있다는 지적이다. 줌라의 보안 팀이 PHP메일러를 사용하는 'J메일' 클레스가 이번 취약점에 안전한지에 대해 추가 검증을 하기로 결정한 것을 비롯해, 주요 CMS 개발팀이 이 취약점에 대응하는 작업을 진행하고 있다.

이 취약점은 보낸 사람 이메일 주소 입력 과정에서 충분히 확인하지 않은 점을 악용한다. 이를 이용하면 해커가 센드메일 프로그램에 셸 명령을 추가해 실행할 수 있다. 이러한 과정이 최종적으로 성공하려면 웹사이트 내에 웹 폼이 필요한데, 바로 이 부분에 메일을 발송하는 PHP메일러가 활용된다. 특정 보낸 사람 이메일 주소를 입력할 수 있는 폼을 제공하기 때문이다.

이번 취약점이 구체적으로 어떻게 작동하는지는 분명치 않다. 일반적으로 웹 폼은 미리 설정된 보낸 사람 이메일 항목을 갖고 있고 받을 사람 메일만 입력할 수 있는 형태여서 사이트마다 상황이 제각각인 상황이다.

줌라의 보안 팀 관계자는 "메일을 발송하는 핵심 줌라 API의 모든 곳에서 보낸 사람 주소 항목이 사용되지만 미리 정해진 형식 외에는 입력할 수 없게 돼 있으므로 문제가 되지 않는다. 그러나 PHP메일러의 다른 버전을 사용하는 확장 기능이나 줌라 API를 사용하지 않는 경우 이번 취약점의 영향을 받을 가능성이 있다"라고 설명했다.

워드프레스 개발팀도 비슷한 결론을 내렸다. 개발팀은 자체 버그 트레커에 "워드프레스 코어 코드가 사용하는 내부 wp_mail() 함수는 이번 취약점의 영향을 받지 않는다. 문제가 된 PHP메일러 기능을 사용하지 않기 때문이다. wp_mail()을 정확하게 사용하는 서드파티 플러그인도 이론적으로는 마찬가지로 영향을 받지 않는다. 그러나 문제가 되는 플러그인이 있는지 계속 확인하고 있다"라고 밝혔다.

워드프레스 리더 개발자인 디온 헐스는 "곧 발표되는 4.7.1 버전에는 이런 이슈에 대한 패치가 포함될 예정이다. 이 기능을 사용하든 사용하지 않든 관계없이 안전한 워드프레스 라이브러리를 배포하기 위해 노력하고 있다"라고 말했다. 두루팔의 보안 팀도 이 취약점을 매우 위험한 것으로 규정하고 필요한 보안 조치를 공지했다. 단, 보안 팀은 "두루팔 코어 코드 역시 이번 취약점의 영향을 받지 않는다"라고 설명했다.

이 취약점에 대한 초기 패치를 우회할 수 있고 공개된 악용 코드가 있는 상황이므로 이 취약점은 널리 알려져 있지만 아직 패치되지 않은 이른바 '제로데이' 상태이다. 더구나 PHP메일러를 어떻게 사용하고 있는지에 따라 수많은 사이트에 영향을 줄 수 있어, 피해를 최소화할 수 있는 간단한 방법도 없는 상황이다.

전문가들은 웹사이트 코드 내에서 PHP메일러를 직접 사용하고 있다면 라이브러리를 가능한 빨리 최신 패치 버전으로 업그레이드해야 한다고 조언했다. 또한 현재 웹사이트의 연락처와 피드백, 가입, 이메일 리셋 등의 폼이 취약점에 노출된 PHP메일러 버전을 이용해 이메일을 보낸다면 해커가 이를 악용할 수 있으므로 즉시 조치를 취해야 한다.

CMS를 사용하고 있다면 초기 설정이 이 취약점의 영향을 받는지 확인하기 위해 해당 CMS의 기술지원 웹사이트를 확인할 필요가 있다. 이후에 서드파티 플러그인이나 모듈에 대해서도 이번 취약점의 영향을 받는지 점검해야 한다. ciokr@idg.co.kr 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.