가비아, PHP-FPM 보안취약점 업데이트 실시
상태바
가비아, PHP-FPM 보안취약점 업데이트 실시
  • 황민승 기자
  • 승인 2021.11.19 14:13
  • 댓글 0
이 기사를 공유합니다

웹호스팅 서비스 안정성 제고

가비아는 자사 웹호스팅 서비스에 올해 10월 발견된 PHP-FPM 보안취약점의 업데이트를 적용했다고 19일 밝혔다. 

이번 업데이트를 통해 가비아 웹호스팅 고객은 PHP-FPM 취약점으로 인한 사이트 권한 탈취의 걱정 없이 안정적 웹호스팅 서비스를 이용할 수 있게 됐다.

PHP는 워드프레스, 드루팔(Drupal), 줌라(Joomla) 등의 콘텐츠관리시스템(CMS)을 포함해 전체 웹 사이트의 78.2%에 사용되고 있다. 서버와 애플리케이션 간에 데이터를 주고받는 방식에 해당하는 PHP-FPM(FastCGI Process Manager)은 외부 요청에 따라 웹 서버가 파일을 외부 프로그램에 넘겨주면 이를 읽어 html로 변환하는 단계를 책임진다.

PHP-FPM 보안취약점은 관리자 권한이 없는 일반 사용자가 관리자의 공용 메모리 포인터에 접근해 관리자 권한을 빼앗고, 임의의 위치에 읽기·쓰기가 가능하다는 것이 특징이다. 악의를 가진 해커가 이를 악용해 웹 셸 등을 웹서버에 업로드할 경우 웹사이트가 탈취되거나 마비될 수 있다.

이 취약점은 기본 루트(Root) 권한으로 실행하는 FPM 데몬(daemon) 프로세스와 더 낮은 권한의 사용자로 실행하는 일반 사용자(Child worker) 프로세스로 PHP-FPM SAPI를 실행할 때 문제가 되는 것으로 밝혀졌으며, 만약 엔진x(Nginx)와 PHP를 함께 사용하고 있다면 PHP-FPM을 반드시 사용하게 되는 만큼 보안 취약점에 노출돼 있을 확률이 더 크다는 게 가비아의 설명이다.

영향을 받는 PHP 버전은 7.3.x~7.3.31, 7.4x~7.4.25 미만, 8.0.x~8.0.12 미만으로, 전 세계적으로 사용되는 PHP 버전 중 가장 높은 사용률을 보이는 버전이 PHP 7.4(40.7%)임을 고려하면 PHP 7.3.32, PHP 7.4.25, PHP 8.0.12 버전으로 패치를 진행해야만 해당 취약점 걱정 없이 PHP 기반의 웹호스팅을 이용할 수 있다.

이태석 가비아 호스팅사업 총괄 이사는 “엔지니어 조직을 비롯한 전 직원이 관련 업데이트를 지속 모니터링해 신속히 서비스에 적용하고 있다”며, “앞으로도 안정적이고 믿을 수 있는 웹호스팅 서비스 제공을 위해 적극 노력할 것”이라 말했다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.