워드프레스는 2003년에 출시된 이후, 전 세계에서 가장 널리 사용되는 콘텐츠 관리 시스템(CMS) 중 하나로 성장했습니다.
그 인기는 자유로운 커스터마이징, 수많은 테마와 플러그인을 통한 확장성 덕분입니다. 그러나 이러한 확장성과 오픈소스 특성은 보안 위협에도 노출될 가능성이 큽니다. 지난 10년간 워드프레스 사용자로서, 저는 워드프레스의 장점뿐 아니라 그에 따르는 보안 리스크에 대해서도 체감해왔습니다.
최근의 사례를 보면, 6,000개 이상의 워드프레스 사이트가 악성 플러그인에 의해 감염되었고, 사용자들에게 가짜 소프트웨어 업데이트나 오류 메시지를 통해 정보 탈취형 멀웨어가 배포되는 사건이 발생했습니다.
특히, 2023년에 등장한 ‘클리어페이크(ClearFake)’ 캠페인과 2024년에 새롭게 확인된 ‘클릭픽스(ClickFix)’ 캠페인을 통해 이러한 공격이 이루어지고 있습니다.
이러한 악성 공격은 일반 사용자뿐만 아니라 관리자에게도 치명적인 영향을 미칠 수 있습니다.
워드프레스의 관리자가 설치한 플러그인을 통해 감염되면, 사이트 방문자들이 감염된 코드에 노출될 수 있기 때문인데 특히 악성 플러그인이 관리자에게 무해하게 보일 수 있기 때문에 더욱 경각심을 가져야 합니다.
1. 워드프레스 플러그인을 통한 악성 공격의 위험
‘클리어페이크’ 캠페인은 가짜 웹 브라우저 업데이트 배너를 표시해 사용자가 악성 소프트웨어를 다운로드하도록 유도하는 방식입니다. 이 배너는 실제 웹사이트에서 제공하는 업데이트 알림과 유사하게 생겼기 때문에 많은 사용자들이 속을 수 있습니다.
반면, ‘클릭픽스‘는 소프트웨어 오류 메시지와 함께 “수정”을 제안하는데, 이 제안 역시 진짜처럼 보이기 때문에 위험합니다.
이 수정은 실제로는 파워셸(PowerShell) 스크립트를 실행해 정보 탈취형 멀웨어를 다운로드하고 설치하는 과정을 포함하고 있습니다. 이런 스크립트를 통해 사용자는 멀웨어에 감염되고, 이후 개인 정보나 로그인 자격 증명이 공격자에게 탈취될 수 있습니다.
악성 플러그인은 사용자에게 가짜 오류 메시지를 표시하고, 이를 통해 크롬(Chrome), 페이스북(Facebook), 구글 미트(Google Meet) 등과 관련된 오류를 해결하는 것처럼 속입니다. 이와 같은 방식으로 클리어페이크 및 클릭픽스 스크립트가 사이트 방문자에게 배포되며, 결국 악성 코드에 노출되게 됩니다.
2. 악성 플러그인의 예시와 특징
2024년 6월부터 9월 사이에 발견된 악성 플러그인들은 일반적으로 신뢰할 수 있는 플러그인으로 위장하여 사용자의 의심을 피하려 합니다.
예를 들어, ‘라이트스피드 캐시 클래식(LiteSpeed Cache Classic)’과 같은 합법적인 플러그인의 이름을 모방하여 관리자에게 무해하게 보이지만, 실제로는 악성 자바스크립트 코드를 삽입하여 사이트를 감염시킵니다.
이러한 악성 플러그인의 목록에는 ‘커스텀 CSS 인젝터(Custom CSS Injector)’, ‘몬스터인사이트 클래식(MonsterInsights Classic)’, ‘워드펜스 시큐리티 클래식(Wordfence Security Classic)’ 등도 포함됩니다.
특히, 이 악성 플러그인들은 워드프레스의 관리자 권한을 탈취하거나 피싱, 무차별 대입 공격(brute force)을 통해 관리자의 로그인 자격 증명을 탈취할 수 있습니다. 이를 통해 공격자는 플러그인을 자동으로 설치하고 악성 코드를 배포할 수 있게 됩니다.
3. 워드프레스 사이트 보안 유지 및 멀웨어 예방 전략
악성 플러그인 공격을 방지하고 워드프레스 사이트의 보안을 강화하기 위해서는 다음과 같은 예방 조치가 필수적입니다.
정기적인 플러그인 점검
관리자는 주기적으로 설치된 플러그인을 점검해야 하며, 자신이 설치하지 않은 플러그인이나 의심스러운 플러그인이 발견되면 즉시 삭제해야 합니다.
대시보드 접속: 워드프레스 관리자 페이지에 로그인 후 대시보드로 이동합니다.
플러그인 페이지로 이동: 대시보드 왼쪽 메뉴에서 “플러그인”을 클릭합니다.
- 업데이트 확인: 업데이트가 필요한 플러그인은 자동으로 ‘업데이트’ 버튼이 표시됩니다. 최신 보안 패치를 적용하려면 반드시 업데이트합니다.
- 불필요한 플러그인 삭제: 사용하지 않거나 설치한 적이 없는 플러그인이 있는지 확인하고, 필요 없는 플러그인은 삭제합니다.
의심스러운 플러그인(이름이 불분명하거나 공식 출처가 아닌 것)은 “비활성화”한 후 “삭제”합니다.
또한 플러그인 업데이트는 보안 패치를 포함하는 경우가 많기 때문에 정기적인 업데이트가 중요합니다.
플러그인의 신뢰성 확인
플러그인을 설치할 때는 공식 워드프레스 플러그인 디렉터리나 신뢰할 수 있는 출처에서만 다운로드하는 것이 중요합니다.
- 대시보드 → 플러그인 → 새로 추가를 선택합니다.
- 검색창에 플러그인 이름을 입력하여 공식 리포지토리에서 검색 후 설치합니다.
플러그인 페이지에서 설치 횟수, 사용자 평점, 마지막 업데이트 날짜를 확인하여 신뢰성을 검증하며 오랫동안 업데이트되지 않은 플러그인은 위험할 수 있습니다.
알 수 없는 소스에서 제공하는 플러그인은 악성 코드가 포함될 가능성이 크기 때문에 설치 전 출처를 꼭 확인해야 합니다.
강력한 비밀번호와 이중 인증(2FA)
- 대시보드 → 사용자 → 내 프로필로 이동합니다.비밀번호 변경 섹션에서 “비밀번호 생성” 버튼을 클릭하여 강력한 비밀번호를 자동 생성합니다.
- 복잡한 문자 조합(대문자, 소문자, 숫자, 특수문자)을 포함한 비밀번호를 사용하는 것이 좋습니다.
- 생성된 비밀번호를 복사하여 안전하게 저장한 후 “프로필 업데이트” 버튼을 클릭합니다.
워드프레스 관리자 계정은 해킹의 주요 타겟이기 때문에 강력한 비밀번호를 설정하고, 이중 인증(2FA)를 통해 추가적인 보안 계층을 적용해야 합니다.
로그인 이중 인증(2FA) 설정
- 플러그인 설치: “Two Factor Authentication” 같은 2FA 플러그인을 설치합니다. 신뢰할 수 있는 2FA 플러그인을 선택합니다.
- 플러그인 설정
- 플러그인 설치 후, 대시보드 → 설정 → 2FA 설정으로 이동합니다.
- Google Authenticator 또는 Authy와 같은 2FA 애플리케이션을 사용해 2차 인증을 설정합니다.
- 설정이 완료되면, 로그인할 때마다 2차 인증 코드를 입력해야 하므로 보안이 강화됩니다.
자격 증명이 유출될 경우 이를 통해 플러그인 설치 및 사이트 접근이 가능해지므로 보안 강화를 위해 필수적인 조치입니다.
참고 : 워드프레스 클라우드플레어 – GZIP CSS HTML 압축 최적화 속도개선
정기적인 백업과 보안 스캔
사이트 데이터를 정기적으로 백업하여 문제가 발생했을 때 빠르게 복구할 수 있도록 대비해야 합니다.
- 대시보드 → 플러그인에서 백업 플러그인을 활성화한 후 설정 메뉴로 이동합니다.
- 자동 백업 주기를 설정합니다.
- 일일, 주간, 월간 백업 옵션 중 사이트 규모에 맞는 주기를 선택합니다.
- 백업 파일을 안전하게 보관하기 위해 Google Drive, Dropbox 등 외부 스토리지로 자동 전송하는 옵션을 설정합니다.
또한, 악성 코드 스캔을 통해 플러그인이나 사이트 파일에 악성 스크립트가 삽입되지 않았는지 확인하는 것이 좋습니다.
Wordfence 또는 Sucuri Security와 같은 보안 플러그인을 설치합니다.
보안 플러그인 설치 후, 대시보드 → 보안 플러그인 메뉴에서 정기적인 악성 코드 스캔을 설정합니다.
다음 의심스러운 파일이나 악성 코드가 감지되면, 해당 파일을 수정하거나 삭제합니다.
웹 애플리케이션 방화벽(WAF) 도입
WAF는 악성 웹 트래픽을 차단하고, 알려진 취약점을 이용한 공격을 방어하는 데 중요한 역할을 합니다. WAF를 설정하여 의심스러운 트래픽을 사전에 차단하고, 웹사이트의 보안을 더욱 강화할 수 있습니다.
클라우드형 WAF 설정
- Sucuri 또는 Cloudflare와 같은 클라우드형 WAF 서비스를 이용할 수 있습니다. 해당 서비스에 가입 후 워드프레스 사이트의 DNS 설정을 WAF로 경유하게 설정하면 트래픽이 필터링됩니다.
- 사이트에 접속하는 모든 웹 트래픽이 WAF를 통과하게 되어 악성 트래픽이 차단됩니다.
플러그인형 WAF 설정
- 워드프레스 플러그인으로 WAF를 설정할 수도 있습니다. Wordfence 플러그인은 웹 애플리케이션 방화벽 기능을 제공합니다.
- 대시보드에서 Wordfence를 설치한 후, 설정 메뉴에서 WAF 활성화를 클릭하여 사이트에 방화벽을 적용합니다.
워드프레스는 강력한 오픈소스 플랫폼이지만, 그만큼 보안 위협에도 쉽게 노출될 수 있습니다. 플러그인을 통한 악성 공격은 관리자와 사용자 모두에게 큰 피해를 줄 수 있으며, 이를 예방하기 위해서는 보안에 대한 경각심을 갖고 철저한 관리와 예방 조치가 필요합니다.
참고 : 구글 서치콘솔 멀웨어 보안문제 워드프레스 해결방법
그리고 서버를 이용한다면 컴퓨터에 멀웨어 바이러스등일 설치되지 않도록 클린한 상태로 서버를 관리하느것이 악성 플러그인 공격으로부터 사이트를 보호하려면 정기적인 점검과 보안 조치가 필수이며 오늘날 사이버 위협이 날로 정교해지는 상황에서 워드프레스 사용자는 꾸준히 보안 업데이트를 확인하고, 예방 조치를 통해 사이트를 안전하게 운영해야 합니다.