최근 여러 워드프레스 플러그인이 해커들에 의해 악용되어 불법 관리자 계정이 생성되는 보안 사고가 발생해 각별한 주의가 필요하다.
보안 업체 워드펜스(Wordfence)는 여러 워드프레스 플러그인이 악성코드에 감염되어 해커들이 불법적인 관리자 계정을 생성하고 있다고 밝혔다. 해커들은 플러그인에 악성 자바스크립트와 PHP 코드를 주입해 관리자 계정을 생성하고, 해당 계정의 정보를 자신들이 제어하는 IP 주소로 전송했다. 또한 이 악성코드는 웹사이트의 푸터에 SEO 스팸과 기타 악성 콘텐츠를 삽입했다.
이번 공격으로 영향을 받은 플러그인은 Social Warfare, Blaze Widget, Wrapper Link Element, Contact Form 7 Multi-Step Addon, Simply Show Hooks 등이 있다. 이 플러그인들은 보안팀이 패치와 추가 조사를 진행하는 동안 워드프레스 플러그인 디렉터리에서 일시적으로 제거되었다.
해커들은 플러그인에 악성 자바스크립트와 PHP 코드를 삽입하여 새로운 관리자 계정을 생성하고, 악성코드를 웹사이트에 삽입했다. 이러한 악성 스크립트는 방문자를 악성 콘텐츠로 리디렉션하고, 백도어를 설치하여 지속적인 접근을 가능하게 했다.
이번 소프트웨어 공급망 공격의 초기 징후는 6월 21일경에 감지되었다. 연구자들은 해커들이 제로데이 취약점을 악용해 플러그인을 공격했음을 확인했다. 제로데이 취약점은 아직 패치되지 않은 신종 보안취약점이다.
워드프레스 사이트 관리자들은 즉시 사용자 계정을 점검해 의심스러운 항목을 확인하고, 플러그인을 검토하여 무단 수정 사항을 삭제해야 한다. 권장 조치로는 불법 관리자 계정을 삭제하고, 악성코드를 제거하며, 영향을 받은 플러그인의 최신 패치 버전으로 업데이트하는 것이 안전하다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★