워드프레스 악성 플러그인 노출에 관련하여 긴급속보 뉴스가 나왔습니다. 최근 6,000개 이상의 워드프레스(WordPress) 사이트가 악성 플러그인에 의해 감염되어, 사용자들에게 가짜 소프트웨어 업데이트나 오류 메시지를 통해 정보 탈취형 멀웨어가 배포되고 있다고 합니다. 혹시 워드프레스를 운영하시는 분들께 해당 문제의 심각성과 경각할 문제인 점을 고려하여 글을 정리해보겠습니다.
워드프레스 악성 플러그인 공격 그리고 대책
이번 악성 플러그인 노출 및 공격은 2023년에 등장한 ’클리어페이크(ClearFake)’와 2024년에 새롭게 등장한 ‘클릭픽스(ClickFix)’ 캠페인을 통해 이루어지고 있습니다.
클리어페이크(ClearFake) 캠페인은,
워드프레스 웹사이트 방문자들에게 가짜 웹 브라우저 업데이트 배너를 표시해, 악성 소프트웨어를 설치하도록 유도하는 공격 방식입니다. 사용자는 브라우저 업데이트를 위한 알림을 실제로 믿고 실행하면, 해당 알림을 통해 멀웨어가 다운로드되어 시스템에 침투합니다. 이 캠페인은 웹사이트의 악성 플러그인에 의해 퍼지며, 공격자들은 이를 통해 사용자의 개인 정보와 데이터에 접근할 수 있습니다.
이러한 공격을 막기 위해서는 플러그인 점검, 정기적인 보안 업데이트, 웹 애플리케이션 방화벽(WAF) 설정이 중요합니다.
클리어페이크 캠페인은 가짜 웹 브라우저 업데이트 배너를 표시하여 사용자들이 악성 소프트웨어를 다운로드하도록 유도하는 방식으로 알려져 있습니다. 또한 클릭픽스도 이와 유사한 방법을 사용하나, 소프트웨어 오류 메시지와 함께 사용자에게 수정을 제안하는 유형을 가지고 있습니다. 사용자가 수정을 실행할 경우 정보 탈취형 멀웨어가 다운로드되어 설치되게 됩니다.
이런 악성 캠페인은 사용자에게 가짜 오류 메시지를 표시하고, 이를 통해 크롬(Chrome), 페이스북(Facebook), 구글 미트(Google Meet) 등과 관련된 오류를 해결하도록 속이고 있습니다.
※ 여기서 "캠페인"이라는 말은,
단순히 광고나 프로모션을 의미하는 것이 아니라, 조직적이고 체계적인 공격 활동을 뜻합니다. 즉, 클리어페이크(ClearFake) 캠페인은 특정 목표를 위해 악성 소프트웨어를 배포하고 사용자를 속이는 일련의 공격 행위들을 묶어 표현한 것입니다. 이는 공격자들이 다수의 웹사이트에 악성 플러그인을 심고, 방문자들이 특정 행동을 하도록 유도하는 지속적이고 계획적인 공격 전략을 포함합니다.
최근 유명 사이트인 고대디(GoDaddy) 보안 연구팀은 이러한 위협 행위자들이 워드프레스 사이트를 침해하여 악성 플러그인을 설치하고 가짜 경고를 띄우는 것을 확인했다. 고대디의 연구원 데니스 시네굽코(Denis Sinegubko)는 이러한 악성 플러그인이 워드프레스 관리자에게는 무해하게 보이지만, 실제로는 악성 자바스크립트 코드를 삽입한다고 설명했습니다.
워드프레스 악성 플러그인 공개
이러한 악성 플러그인들은 ‘워드펜스 시큐리티 클래식(Wordfence Security Classic)’, ‘라이트스피드 캐시 클래식(LiteSpeed Cache Classic)’ 등 합법적인 플러그인 이름을 모방하거나, 만들어낸 이름을 사용해 관리자의 의심을 피하려는 패턴을 보이기도 한다고 하니 참고하면 좋을 것 같습니다.
최근 2024년 6월부터 9월 사이에 발견된 악성 플러그인 목록은 다음과 같습니다.
- 라이트스피드 캐시 클래식(LiteSpeed Cache Classic)
- 커스텀 CSS 인젝터(Custom CSS Injector)
- 몬스터인사이트 클래식(MonsterInsights Classic)
- 커스텀 푸터 제너레이터(Custom Footer Generator)
- 워드펜스 시큐리티 클래식(Wordfence Security Classic)
- 커스텀 로그인 스타일러(Custom Login Styler)
- 유니버설 팝업 플러그인(Universal Popup Plugin)
이외에도 수쿠리(Sucuri) 보안 팀에 따르면 ’유니버설 팝업 플러그인(Universal Popup Plugin)’이라는 가짜 플러그인도 확인되었다고 전했습니다. 이러한 플러그인은 설치된 후, 다양한 워드프레스 액션에 훅을 걸어 HTML 코드에 악성 자바스크립트를 삽입하게 됩니다.
워드프레스 보안 추천 플러그인
보안 연구원들은 이러한 워드프레스 악성 플러그인의 공격을 피하기 위해서 워드프레스 사용자는 설치된 플러그인을 주기적으로 확인하고, 자신이 설치하지 않은 플러그인이 있다면 즉시 삭제해야 한다고 권하고 있습니다. 또한, 관리자 비밀번호를 즉시 변경하고, 이중 인증(2FA) 등의 보안 조치를 적용해야 한다고 추천합니다.
많은 전문가들이 추천하는 보안 관련 플러그인은 다음과 같습니다.
- Wordfence Security
- Sucuri Security
- iThemes Security
- BulletProof Security
그 외에도 보안을 강화하는 방법을 아래에 정리해둘테니, 꼭 참고하셔서 악성 공격을 피하시길 바랍니다.
- 플러그인 및 테마 업데이트: 항상 최신 버전의 플러그인과 테마를 사용하여 알려진 취약점을 패치하세요.
- 강력한 비밀번호 사용: 관리자 계정을 포함한 모든 사용자 계정에 복잡하고 고유한 비밀번호를 사용하세요.
- 정기적인 백업: 웹사이트를 정기적으로 백업하여 공격 발생 시 복구할 수 있도록 준비하세요.
- SSL 인증서 적용: HTTPS를 사용하여 데이터 전송을 암호화하세요.
- 불필요한 플러그인 제거: 사용하지 않는 플러그인은 제거하여 잠재적인 취약점을 줄이세요.
- 접근 제한: 관리자 페이지에 대한 IP 기반 접근 제한을 설정하세요.
- 보안 스캔 실행: 정기적으로 보안 스캔을 실행하여 악성코드나 취약점을 탐지하세요.
웹사이트 관리자는 정기적인 플러그인 점검과 더불어 악성 코드 스캔, 의심스러운 웹사이트 트래픽을 차단하는 웹 애플리케이션 방화벽(WAF)을 도입하는 것이 중요합니다. 또한, 알 수 없는 플러그인 설치 여부를 확인하고, 설치한 플러그인이 공식 사이트나 잘 알려진 소스에서 배포된 것인지 검토하는 것이 필수입니다.
이러한 워드프레스 악성 플러그인으로 인해서 워드프레스 플랫폼을 이용하여 여러가지 비지니스를 운영하시는 분들이 피해를 입지 않으시면 좋겠습니다. 특히 요즘처럼 블로그용으로 워드프레스 사용하는 빈도가 늘어나면서 이런 악성 사례들이 문제가 될 것 같습니다.
[함께 보면 좋을 글]