속보
개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망
CVE·취약점AI 초안

[긴급] Joomla Page Builder CK 확장 모듈, 인증 우회 파일 업로드 취약점으로 원격 코드 실행 위험(CVE-2026-56290)

Joomla CMS의 인기 확장 모듈 Page Builder CK에서 CVSS 9.8점의 치명적 취약점이 발견됐다. 인증 없이 실행 파일 업로드가 가능해 서버 완전 장악 위험이 있다.

백남정 기자
입력 2026년 7월 4일·원문 보기 ↗
단축URLhttps://privacynews.kr/s/94729b

핵심 요약

- Joomla 확장 모듈 Page Builder CK에서 인증 없이 임의 파일 업로드가 가능한 치명적 취약점(CVE-2026-56290) 발견 - CVSS 9.8점(Critical)으로 평가되며, 공격자가 실행 파일 업로드를 통해 원격 코드 실행(RCE) 가능 - 인증 절차 없이 공격 가능해 웹 서버 완전 장악 및 데이터 유출 위험 심각

주요 내용

2026년 7월 3일 현재, Joomla CMS의 대표적인 페이지 빌더 확장 모듈인 Page Builder CK에서 인증되지 않은 임의 파일 업로드 취약점이 보고됐다. 이 취약점은 CVE-2026-56290으로 등록됐으며, CVSS 3.x 기준 9.8점의 치명적(Critical) 등급으로 평가됐다.

이번 취약점의 가장 심각한 특징은 공격자가 어떠한 인증 절차도 거치지 않고 서버에 실행 가능한 파일을 업로드할 수 있다는 점이다. 일반적인 파일 업로드 취약점과 달리, 파일 확장자 및 MIME 타입 검증이 제대로 이루어지지 않아 PHP, JSP 등의 웹 셸(Web Shell)을 직접 업로드할 수 있다. 공격자는 업로드한 악성 스크립트를 통해 서버에서 임의의 명령을 실행할 수 있으며, 이는 곧 서버의 완전한 장악(Full RCE)으로 이어진다.

Page Builder CK는 Joomla 사이트 관리자들이 드래그 앤 드롭 방식으로 웹 페이지를 구성할 수 있게 해주는 인기 확장 모듈이다. 공식 포럼을 통해 새로운 버전이 공개됐으며, mysites.guru 블로그를 통해 상세한 기술적 분석이 공개됐다. 취약점의 심각성을 고려할 때, 해당 모듈을 사용하는 모든 Joomla 사이트는 즉각적인 패치 적용이 필요한 상황이다.

공격 벡터의 복잡도가 낮고(Low Complexity) 사용자 상호작용이 필요 없으며(No User Interaction), 권한이 전혀 필요 없다(No Privileges Required)는 점에서 자동화된 대량 공격의 표적이 될 가능성이 매우 높다. 실제로 이러한 유형의 취약점은 랜섬웨어 배포, 크립토마이닝, 개인정보 대량 유출 등의 공격에 악용되는 사례가 빈번하다.

전문가 시각

ISMS-P 인증심사 관점에서 볼 때, 이번 취약점은 '2.8.2 보안 취약점 점검 및 조치' 항목의 전형적인 위반 사례다. 특히 웹 애플리케이션의 파일 업로드 기능은 입력값 검증(Input Validation)이 가장 중요한 보안 통제 지점인데, Page Builder CK는 파일 확장자, MIME 타입, 파일 크기 등 기본적인 검증 로직조차 제대로 구현하지 않은 것으로 보인다. 인증 없이 접근 가능한 파일 업로드 엔드포인트를 제공한다는 것은 설계 단계부터 심각한 결함이 있었음을 시사한다.

실무 대응 관점에서는 즉각적인 패치 적용과 함께, 이미 침해가 발생했을 가능성에 대비한 침해 흔적 조사(Forensics)가 병행돼야 한다. 웹 서버의 업로드 디렉토리에서 최근 생성된 의심스러운 파일(특히 .php, .phtml 등)을 점검하고, 웹 서버 접근 로그에서 비정상적인 POST 요청 패턴을 분석해야 한다. 또한 웹 방화벽(WAF)에 파일 업로드 경로에 대한 긴급 차단 룰을 적용하고, 업로드 디렉토리의 스크립트 실행 권한을 제거하는 등의 임시 완화 조치가 필요하다.

영향받는 시스템 및 조치사항

영향 범위: Joomla CMS에서 Page Builder CK 확장 모듈을 사용하는 모든 웹사이트가 영향을 받는다. 공식 발표에 따르면 특정 버전 이하의 모든 설치 환경이 취약한 것으로 확인됐다.

CVSS 3.x 점수 해석: - 9.8 (Critical) - 공격 벡터: 네트워크(AV:N), 복잡도: 낮음(AC:L), 필요 권한: 없음(PR:N), 사용자 상호작용: 없음(UI:N) - 기밀성(C), 무결성(I), 가용성(A) 모두 높은(High) 영향도 - 이는 원격에서 인증 없이 쉽게 악용 가능하며, 시스템에 완전한 손상을 입힐 수 있음을 의미

조치사항: 1. 긴급 패치: Joomlack 공식 포럼(https://forum.joomlack.fr)에서 제공하는 최신 보안 업데이트를 즉시 적용 2. 임시 완화: 패치 전까지 Page Builder CK 모듈 비활성화 또는 관리자 IP 화이트리스트 적용 3. 침해 점검: 업로드 디렉토리 내 최근 30일 이내 생성된 파일 전수 조사 4. 로그 분석: 웹 서버 액세스 로그에서 /components/com_pagebuilderck/ 경로에 대한 비정상 POST 요청 확인 5. 보안 강화: 웹 서버 설정에서 업로드 디렉토리의 PHP 실행 권한 제거 (.htaccess 또는 nginx 설정)

CPPG·ISMS-P 연계 포인트

1. 입력값 검증 및 출력값 정제 (ISMS-P 2.8.4) 파일 업로드 기능은 웹 애플리케이션 보안의 핵심 통제 영역이다. 화이트리스트 기반 파일 확장자 검증, 파일 헤더(Magic Byte) 확인, 업로드 경로 무작위화, 실행 권한 분리 등 다층 방어 전략이 필수적이다. 이번 취약점은 서버 측 검증 누락이 얼마나 치명적인 결과를 초래하는지 보여주는 전형적 사례다.

2. 인증 및 접근통제 (ISMS-P 2.7.1~2.7.3) 관리 기능이나 민감한 작업(파일 업로드 등)은 반드시 적절한 인증 및 권한 확인을 거쳐야 한다. 'Unauthenticated' 취약점은 인증 메커니즘이 아예 구현되지 않았거나 우회 가능함을 의미하며, CVSS의 'Privileges Required: None' 지표로 표현된다. 최소 권한 원칙과 기본 거부(Deny by Default) 정책을 설계 단계부터 적용해야 한다.

#CVE-2026-56290#Joomla#파일업로드취약점#RCE#CVSS9.8
백남정 기자

개인정보보호 전문 미디어 PrivacyNews 기고

개인정보보호뉴스 구독하기구글에서 팔로우

관련 기사

📌 함께 읽으면 좋은 기사