phpMyAdmin, 4.7.7버전 업데이트 시급

phpMyAdmin서 테이블 삭제 등 가능한 CSRF 취약점 발견
DB 운영 관련 URL이 브라우저 히스토리 등에 저장되기도

[보안뉴스 오다인 기자] phpMyAdmin에서 치명적인 취약점이 발견된 뒤 패치됐다. 교차 사이트 요청 위조(CSRF: Cross Site Request Forgery) 취약점으로, 인도의 보안 연구자 아슈토시 바롯(Ashutosh Barot)이 발견했다.

phpMyAdmin은 PHP 언어로 작성된 무료 소프트웨어 툴로, MySQL을 웹에서 관리하기 위해 만들어졌다. phpMyAdmin은 데이터베이스, 테이블, 컬럼, 관계, 인덱스, 이용자, 권한 등을 관리하는 데 자주 사용되고 있다. 해외 보안 매체 시큐리티위크(Securityweek)는 phpMyAdmin이 매월 200,000회 이상 다운로드 되고 있다고 짚었다.

이번에 발견된 취약점은 공격자가 phpMyAdmin 상에서 테이블을 삭제(drop)하거나 기록을 없애는 등의 공격을 펼칠 수 있도록 했다. 시큐리티위크는 phpMyAdmin이 데이터베이스 운영 시 GET 요청을 사용하면서도 CSRF 보호를 제공하지 못하기 때문에 이런 유형의 공격이 가능하다고 설명했다. CSRF는 2013년 OWASP 10에 오른 취약점 중 하나다.

이 취약점을 발견한 바롯은 phpMyAdmin로 구축된 데이터베이스 운영과 관련된 URL들이 웹 브라우저 히스토리, SIEM 로그, 방화벽 로그, ISP 로그 등에 저장된다는 사실도 발견했다. 바롯은 이런 여러 가지 장소에 저장됨으로써 민감한 정보가 유출될 수도 있다고 경고했다.

▲phpMyAdmin 4.7.7버전 다운로드 페이지 [이미지=phpMyAdmin 홈페이지 캡처]

phpMyAdmin 개발자들은 본 취약점을 ‘치명적(critical)’인 취약점으로 분류한 뒤 패치, 이후 4.7.7버전으로 배포했다고 시큐리티위크는 전했다. 이전 버전들은 모두 이 취약점에 노출되기 때문에 phpMyAdmin 이용자라면 신속히 업데이트를 진행해야 한다.
[국제부 오다인 기자(boan2@boannews.com)]

AI 및 AI 보안 솔루션이 보안 인력의 업무에 어떤 식으로 영향을 미칠것이라고 생각하시나요
	부족한 인력 보충: 만성적인 인력 부족 문제를 해결하는 보완재 역할을 하고 있다(100% 대체는 불가)
	업무 영역의 분리: AI는 대량 데이터 처리를, 전문가는 고도의 전략적 판단을 맡는 등 역할이 완전히 다르다
	업무 총량의 전이: 단순 업무는 줄었으나, AI 모델 관리·검증 등 새로운 형태의 운영 업무가 발생해 전체 업무량은 비슷하다
	인력 대체 가능: 단순 반복 업무를 넘어 분석/판단 영역까지 대체하여 인력을 줄일 수 있다
	신뢰도 부족: 아직은 AI의 오탐이나 환각(Hallucination) 우려로 인해 사람이 일일이 재검토해야 하므로 실질적인 도움은 적다