Home > 전체기사
워드프레스 사이트 겨냥한 공격, 갑자기 30배 증가
  |  입력 : 2020-05-07 13:50
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
워드프레스 사이트, 편리하지만 불안전한 서드파티 플러그인이 많은 환경
서드파티 요소들에 대한 보안 점검, 사이트 운영자들이 잊지 말아야


[보안뉴스 문가용 기자] 워드프레스 환경에서 심상치 않은 일이 벌어지고 있다. 요 근래 워드프레스 기반 사이트를 겨냥한 공격이 30배 증가한 것이다. 워드프레스 방화벽 서비스 제공업체인 데피안트(Defiant)에 따르면 4월 28일 이후 현재까지 약 90만 개의 워드프레스 사이트들에서 공격 시도가 발견됐다고 한다.

[이미지 = iclickart]


데피안트는 이번 발표를 통해 “5월 3일 하루에만 50만 개 워드프레스 사이트에서 2천만 번이 넘는 공격 시도가 있었다”고 현재 사태의 심각성에 대해 경고했다. 또한 지난 한 달 동안 데피안트가 수집했던 공격용 IP 주소들이 2만 4천개가 넘는다고 한다.

이렇게 급증한 공격의 배후에는 한 개의 단체가 있는 것으로 추정된다. 이들은 서드파티 워드프레스 플러그인들에서 발견된 XSS 취약점들을 주로 익스플로잇하고 있는데, 그 외에도 이미 과거에 발굴된 다른 취약점들도 적극 공격하고 있다고 한다. 주로 백도어를 심는 것이 공격의 최종 목표라고 한다.

공격자들이 사용하는 백도어는 악성 자바스크립트를 사이트 내 모든 페이지에 심는 기능을 가지고 있다. 이 때문에 방문자들이 사이트 내에서 어디를 가든 악성 광고가 호스팅 되어 있는 곳으로 우회 접속된다.

만약 피해자가 관리자로 로그인 되어 있는 상태라면 악성 PHP 백도어가 사이트에 주입된다. 이 백도어는 또 다른 페이로드를 다운로드 받아 설치하는데, 이를 통해 공격자는 도메인 전체에 대한 제어 권한을 가지게 된다. 여기서부터 공격자는 웹 셸을 심거나 악성 관리자 계정을 추가로 만드는 등의 행동을 할 수 있다.

공격의 양이 급증했고, 오래된 취약점들을 익스플로잇 하는 방법이 주를 이룬다는 점으로 미뤄보아 표적 공격이 일어나고 있는 것으로 짐작되지는 않는다고 데피안트는 설명한다. “사이트의 종류나 산업 유형과 전혀 상관없이 공격이 발생하고 있습니다. 무차별적이라는 것이죠. 이런 형태의 공격은 주로 돈을 목적으로 한 자들이 저지릅니다.”

현재 익스플로잇 되고 있는 취약점들 대부분 과거에도 익스플로잇 된 적이 있다. 데피안트의 보고서에 의하면 현재 주로 공격 받고 있는 건 이지투맵(Easy2Map)이라는 플러그인으로, 과거에 보안 취약점이 발견돼 워드프레스 리포지터리에서 삭제된 전적이 있다고 한다. 그 외에 블로그 디자이너(Blog Designer)라는 플러그인과 GDPR과 관련된 플러그인, 토탈 도네이션즈(Total Donations)도 익스플로잇 되고 있는 중이다.

오래 전부터 워드프레스를 기반으로 한 사이트들을 가장 많이 위협해왔던 건 서드파티 플러그인들이었다. 워드프레스 사이트의 운영자들은 서드파티 플러그인을 설치해 사용할 때 각별히 조심해야만 했다. 이번 사건도 그러한 ‘전형’이 사실임을 드러내고 있다고 데피안트는 설명한다.

“지난 수년 동안 수만 개의 워드프레스 전용 플러그인들이 세상에 나왔습니다. 대부분 관리자가 할 수 있는 일을 확대시켜주는 것이었죠. 그러나 그 반대의 측면에서 수많은 취약점들이 나와 사이트들을 위협하기도 했습니다. 이 플러그인 취약점들은 여전히 공격자들의 뜨거운 관심을 받고 있고요.” 데피안트 측의 설명이다.

보안 업체 페리미터엑스(PerimeterX)의 아밋 나이크(Ameet Naik)는 “웹사이트를 구성하는 스크립트의 70%가 이른 바 ‘서드파티’로 분류된다”며 “웹사이트 운영자가 이를 하나하나 점검하지 않으면 보안 취약점으로 돌변할 수 있다”고 경고한다. “서드파티는 편리성이라는 부분을 충족해주지만, 그만큼 까다롭게 점검해야 할 필요도 있습니다.”

그러면서 나이크는 다음 몇 가지 실천 사항들을 권장했다.
1) 알려진 취약점 존재 여부를 확인하기 위한 사이트 스캐닝
2) 접근을 통제하기 위한 콘텐츠 보안 정책 적용
3) 웹 애플리케이션 방화벽 사용을 통한 XSS 공격 제한
4) 클라이언트 가시성 도구 활용

“워드프레스 환경에서라면, 공식 워드프레스 리포지터리에 플러그인이 존재하는지, 삭제되었다면 그 이유가 무엇인지 확인하는 것도 중요합니다. 되도록 비공식 절차로 다운로드 받아야 되는 플러그인은 사용하지 않는 편이 안전합니다.” 나이크의 설명이다.

3줄 요약
1. 최근 워드프레스 사이트 겨냥한 공격이 30배 증가.
2. 배후에는 한 개의 공격 단체가 있는 것으로 보임.
3. 공격 방법은 과거에 알려진 서드파티 플러그인 XSS 취약점의 익스플로잇.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 잇따른 기밀 유출 사건으로 인해 종이유출차단방지(출력물) 보안 솔루션의 도입 필요성이 높아지고 있는데요. 해당 솔루션 도입을 위한 비용은 어느 정도가 적정하다고 보시나요?
2천만원 이하
5천만원 이하
1억원 이하
1~2억원 이내
2억원 이상