현지시간 20일 지원 중인 전 버전 대상 코어 보안 업데이트 동시 배포
취약점 세부 사항 비공개 “공개 직후 자동화 해킹 도구 유포 위험 높아”

[보안뉴스 김형근 기자] 전 세계 수많은 기업과 기관이 웹사이트 구축에 사용하는 핵심 플랫폼 드루팔(Drupal)이 대규모 사이버 공격을 막기 위한 긴급 대응에 나섰다.


드루팔 보안팀은 20일(현지시간) 모든 지원 버전을 대상으로 핵심(Core) 시스템의 중대한 취약점을 해결하는 긴급 보안 업데이트를 배포한다고 공식 발표했다. 현재 해당 결함의 구체적인 형태와 위험도(CVE) 등 세부 사항은 보안을 위해 비공개 상태다.

보안팀은 공지를 통해 “해당 취약점이 대중에게 공개된 후 단 몇 시간 만에 웹사이트를 무단 점령하는 해킹 도구(Exploit)가 광범위하게 유포될 수 있다”며, 전 세계 사이트 관리자들이 배포 창이 열리는 즉시 즉각적인 패치 적용에 착수해야 한다고 강도 높게 경고했다.

이번 업데이트를 수용하기 위해서는 사전 준비 작업이 필요하다. 보안팀 지침에 따르면, 현재 드루팔 11.1 이하 버전을 운영 중인 웹사이트는 최소 11.1.9 버전으로, 10.4 이하 버전을 사용하는 곳은 10.4.9 버전으로 시스템을 미리 업데이트해야 본 패치를 원활하게 적용할 수 있다.

사안의 심각성을 반영하듯, 이미 공식 기술지원 수명(EOL)이 완전히 종료된 구버전들까지 예외적으로 패치가 제공된다. 다만 지원이 끊긴 드루팔 8 및 9 버전의 경우 자동 업데이트가 지원되지 않아 관리자가 보완 코드를 직접 입력하는 수동 패치(Patch file)를 적용해야 한다.

드루팔 측은 구버전에 대한 수동 패치에 대해 강한 우려를 표명했다. 임시 패치가 시스템 환경에 따라 오작동이나 충돌을 유발할 위험이 있으며, 무엇보다 EOL 버전은 이미 과거에 노출된 무수한 보안 취약점들을 그대로 방치하고 있어 이번 패치만으로는 해커들의 연쇄 공격을 완벽히 차단할 수 없다는 것이다.

드루팔 보안팀은 “모든 웹사이트가 이번 취약점의 직접적인 영향을 받는 것은 아니지만, 공격 코드가 공개되기 전 방어 체계를 갖추는 것이 최우선”이라며 “EOL 버전을 사용하는 관리자들은 임시 패치에 의존하지 말고, 가까운 시일 내에 최신 10 또는 11 버전으로 시스템을 전면 마이그레이션해야 한다”고 말했다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>