워드프레스 7.0의 AI API 키 노출 보안 취약점

팩트워드프레스 7.0의 인공지능(AI) 통합 설정 화면에서 API 키가 브라우저 자동 완성 기능을 통해 평문으로 노출되는 보안 버그가 발견되었습니다. 이 결함은 화면 공유 중이거나 공용 컴퓨터를 사용할 때 제3자에게 민감한 자격 증명이 유출될 위험을 초래합니다.

주장패치스택의 설립자 올리버 실드는 워드프레스 7.0과 플러그인 취약점이 결합할 경우 해커들이 AI API 키를 탈취하기 위해 몰려들 것이라고 경고합니다. 그는 AI 서비스와 연동된 워드프레스 사이트가 해커들에게 이전보다 훨씬 매력적인 공격 대상이 되었다고 분석합니다.

팩트AI API 키는 클로드, 오픈AI, 제미나이와 같은 AI 서비스와 워드프레스 플러그인을 연결하는 비밀번호 역할을 합니다. 이 키가 탈취되면 해커는 이를 이용해 AI 봇 네트워크를 구축하거나 대규모 피싱 캠페인 및 악성 코드 생성에 악용합니다.

팩트많은 사이트 운영자는 API 키가 유료 서비스와 연결되어 있다는 사실을 인지하지 못합니다. 키가 탈취될 경우 해커는 수천 달러 상당의 AI 사용 비용을 피해자에게 전가하거나 사이트의 민감한 데이터를 탈취하는 등 금전적 피해를 입힙니다.

주장보안 전문가들은 워드프레스가 데이터베이스 접근 권한이나 관리자 권한을 플러그인에 과도하게 허용하는 구조적 문제를 안고 있다고 지적합니다. 안드레이 루푸는 데이터베이스 접근 권한이 넘어가면 비밀 정보를 보호하는 것은 사실상 불가능하다고 경고합니다.

주장워드프레스의 플러그인 신뢰 모델은 AI 서비스와 같은 수익화 가능한 자격 증명이 웹사이트에 연결될 것을 예상하지 못하고 설계되었습니다. 따라서 AI 시대에 맞춰 플러그인 권한을 세분화하고 보안 모델을 근본적으로 재검토해야 합니다.

팩트패치스택의 보고서에 따르면 해커들은 취약점이 발견된 후 사이트 관리자가 업데이트를 완료하기까지의 짧은 시간을 노려 공격 속도를 높입니다. 단순히 사이트를 자주 업데이트하는 것만으로는 해킹을 완벽하게 방어하기 어렵습니다.

교차검증워드프레스 공동 창립자 매트 뮬렌웨그는 대다수의 워드프레스 사이트는 안전하며 자신이 운영하는 사이트들은 20년 동안 해킹당한 적이 없다고 반박합니다. 다만 2011년 워드프레스닷컴 서버에서 민감한 정보가 유출된 보안 사고가 발생한 이력이 있습니다.

교차검증우커머스의 개발자 브라이언 코즈는 워드프레스의 전체 아키텍처를 재설계하지 않고도 API 키를 격리할 방법이 있는지 의문을 제기합니다. 그는 사이트에 악의적인 PHP 코드가 삽입될 경우 키를 숨기더라도 사이트 내부에서 직접 API 호출을 실행할 수 있어 근본적인 해결이 어렵다고 설명합니다.

출처서치 엔진 저널(Search Engine Journal)의 보도 내용을 교차 검증했습니다.