WPBakery 취약점 긴급 점검방법

WPBakery 보안 취약점 경고 – 워드프레스 사용자라면 꼭 알아야 할 최신 보안 대응법

최근 워드프레스 사용자, 특히 프리미엄 테마와 함께 제공되는 WPBakery 페이지 빌더를 사용하는 사이트 관리자들에게 심각한 보안 경고가 내려졌습니다. 해당 플러그인의 특정 기능에 악성 스크립트 삽입을 허용하는 취약점이 발견되었기 때문입니다. 이 글에서는 어떤 문제가 발생했는지, 누구에게 영향을 미치는지, 그리고 어떻게 대응해야 하는지를 금융 및 경영 관점에서 실용적으로 정리합니다.

웹사이트를 통한 정보 비즈니스, 이커머스, 브랜딩 활동이 활발한 지금, 갑작스럽게 노출된 보안 문제는 단순 기술 이슈를 넘어 경제적 손실로 이어질 수 있습니다. 과연 이 문제는 얼마나 심각하며, 어떤 조치를 취해야 피해를 최소화할 수 있을까요?

1. 취약점 상세 – 'Custom JS 모듈'에서의 방어 실패

WPBakery는 코드 없이 드래그 앤 드롭 방식으로 페이지 구성이 가능한 플러그인으로, 수천 개 이상의 유료 테마에 기본 포함되어 있습니다. 최근 공개된 취약점은 해당 플러그인의 'Custom JS' 모듈에서 **입력값 검증(Input Sanitization)**과 **출력값 이스케이핑(Output Escaping)**이 미흡하게 처리되고 있었다는 점에서 출발합니다.

이로 인해 기여자 수준 이상의 권한을 가진 사용자가 악성 스크립트를 삽입할 수 있는 상태였으며, 이를 통해 방문자에게 위협을 가하는 스크립트가 실행될 수 있었습니다. 이는 대표적인 스토어드 XSS (Stored Cross-Site Scripting) 공격의 일환으로 분류됩니다.

2. 피해 범위 – 버전 8.6.1 이하, 다수의 사이트 실질적 노출

해당 취약점은 WPBakery 버전 8.6.1 이하에서 발생하며, 테마에 포함된 구 버전 플러그인의 자동 업데이트가 되지 않을 경우 사용자 인지 없이 노출 상태가 지속됩니다. 워드프레스 기반 웹사이트를 운영하는 다수의 기업들이 이를 통해 다음과 같은 위험에 직면할 수 있습니다.

  • 브라우저 하이재킹 및 피싱 페이지 자동 유도
  • 고객 개인정보 유출 및 서비스 신뢰도 하락
  • SEO 평가 및 검색 노출도 급락

특히 온라인 결제나 회원 시스템을 사용하는 플랫폼이라면 단 한 번의 보안 사고가 수백만 원 이상의 손실로 이어질 수 있어 긴급 대응이 필수적입니다.

3. 해결 방안 – 최신 버전 8.7로 즉시 업그레이드

공식 발표에 따르면 해당 결함은 최신 WPBakery 버전 8.7에서 조치된 상태이며, 신속한 업데이트만이 현재로서 유일한 해결책입니다. 다음과 같은 단계를 따르면 보안을 강화할 수 있습니다.

  • WPBakery 플러그인 단독 버전 확인 및 수동 업데이트
  • 프리미엄 테마 패키지 내 포함된 버전이라면, 테마 제공업체에 업데이트 요청
  • **보안 플러그인(Worfence, Sucuri 등)**을 활용해 과거 삽입된 잠재 코드 스캔
  • Contributor 권한 사용자 관리를 통해 불필요한 계정 정리

보안 전문가들은 “페이지 빌더 플러그인은 강력한 기능만큼이나 새 기능이 많아 구조상 취약점이 발생할 수 있다”며, “보안은 지속적인 유지 관리가 핵심”이라고 조언합니다.

4. 기업이 고려해야 할 추가적인 보안 전략

단발성 패치에 의존하지 않고 웹 보안 체계를 전략적으로 관리하는 것이 중요한 시점입니다. 다음과 같은 3가지 포인트는 중소기업이라도 실행할 수 있는 기본 전략입니다.

  • 정기 점검을 통한 플러그인 보안 감사
  • 사용하지 않는 플러그인의 비활성화 및 삭제
  • 로깅 시스템과 2차 인증 도입으로 내부 위협 차단

이는 단순히 기술적 IT 대응을 넘어서, 리스크 관리와 브랜드 보호 차원에서 중요한 경영 전략으로 인식돼야 합니다.

요약 및 실천 가이드

WPBakery 플러그인의 8.6.1 이하 버전에서 발견된 Stored XSS 취약점은 사용자 정보 유출, 사이트 신뢰성 저하 등 다양한 위험을 동반합니다. 워드프레스 사용자는 아래 조치를 반드시 시행해야 합니다.

  1. WPBakery 8.7 이상 최신 버전으로 업데이트
  2. 플러그인 보안 상태 점검 및 관리자 권한 관리 강화
  3. 주기적인 웹사이트 보안 감사 및 자동 스캐닝 도입

신뢰를 바탕으로 성장하는 비즈니스를 원한다면, 보안은 선택이 아닌 필수입니다. 작은 허점을 사전에 차단하는 것은 장기적으로 기업의 지속 가능성과 직접 연결됩니다.

답글 남기기