워드프레스 플러그인 ‘sp-client-document-manager’에서 시스템권한을 탈취할 수 있는 파일업로드(FileUpload) 취약점이 발견됐으며, 2만개 사이트가 현재 영향을 받는 것으로 확인됐다.
 
워드프레스는 블로깅과 CMS 위주로 사용되는 웹 어플리케이션으로 세계에서 가장 영향력 높은 어플리케이션 중 하나이다.

 
해당 취약점은 2015년 1월 12일에 발견되어 개발자에게 보안권고문이 전달되었으며, 반나절만에 패치가 되어 현재 릴리즈 버전이 배포중이다.
 
이번 취약점을 발견한 국제정보보안교육센터(i2Sec:대전지점) 2기 수강생 김용화씨는 "워드프레스취약점은 제로데이 프로젝트 교육시간을 통해 발견하게 됐다”며 “워드프레스와 같은 플러그인 형태의 웹 어플리케이션들은 일반 사용자들이 참여해 배포할 수 있기 때문에 보안적인 결함이 많이 발생하는 편이다. 이러한 부분을 개선하기 위해서 보안전문가들이 중간자 역할로 1차적 감수를 진행할 수 있는 프로세스가 만들어졌으면 하는 바람이다"라고 전했다.
 
한편 김씨는 “모의해킹 파트 쪽으로 꿈을 키워 전세계적으로 역량을 발휘할 수 있는 보안컨설턴트가 되는 것 이 꿈”이라고 덧붙였다.
 
<★정보보안 대표 미디어 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com