이 블로그는 Ghost CMS 로 운영되고 있다. 여느 때와 마찬가지로 글을 작성하고 제대로 작성되었나 검수하고 있는데, 글에 작성된 링크를 따라가면 자기 맘대로 URL 에 ref 파라미터를 붙이는 바람에 비정상적으로 작동하고 있음을 확인하게 되었다.

이 글에서는 Ghost 블로그 글의 링크를 클릭하면 맘대로 ref 파라미터가 추가되는 문제에 대한 해결법을 설명한다.

1. 문제 상황

문제가 발생한 글은 Apache Tomcat RCE 취약점(CVE-2025-24813) 이었다. 이 글의 하단부에는 취약점에 대한 상세한 정보를 가지는 CVE 사이트에 대한 참조 링크를 달아 두었다. 하지만 해당 링크를 클릭하면 URL 의 끝에 맘대로 ref=moonding.co.kr이라는 파라미터가 추가되며, CVE 사이트에서는 해당 사이트에서 ref라는 이름의 파라미터를 처리할 방법을 몰라 아래와 같은 에러 화면을 출력했다.

2. 해결책

이 문제는 Ghost 블로그에서 글에 링크를 생성할 때 링크 출처를 목적지 URL 에 알려주기 위해 ref 파라미터를 자동으로 생성하도록 설정했기 때문이다. 이 설정은 블로그 생성 시 디폴트로 설정되므로, 특별한 이유가 없다면 앞서 설명한 상황과 같은 문제가 발생할 여지가 있으므로 설정을 비활성화하는 것이 좋다.

설정을 하기 위해서는 https://www.moonding.co.kr/ghost/#/settings/analytics로 접속하면 아래와 같은 화면을 볼 수 있다. Analytics 탭에서 Outbound link tagging 설정을 비활성화할 수 있다.

설정을 비활성화한 후 저장하면 더 이상 링크를 클릭해도 ref 파라미터가 추가되지 않는 것을 확인할 수 있다.

대부분의 사이트들은 자기 사이트에서 어떻게 처리할지 모르는 파라미터를 발견하면 그냥 무시하는게 일반적이지만, 위 사례에서 본 CVE 사이트처럼 모르는 파라미터가 있으면 아예 정상적인 출력을 거부하며 에러 메시지를 출력하는 경우도 있으므로 해당 설정은 비활성화하는게 적절하다고 생각된다.