AI 요약
전 세계적으로 널리 사용되는 워드프레스의 플러그인 제조사 'Essential Plugin'이 공급망 공격의 표적이 되어 수십 개의 플러그인이 오프라인 상태로 전환되었습니다. Anchor Hosting의 설립자인 오스틴 긴더(Austin Ginder)에 따르면, 지난해 이 업체를 인수한 새로운 소유주가 소스 코드에 백도어를 삽입한 것으로 밝혀졌습니다. 이 백도어는 약 1년 동안 잠복해 있다가 2026년 4월 초에 활성화되어 플러그인이 설치된 웹사이트들에 악성 코드를 배포하기 시작했습니다. 워드프레스 공식 디렉토리에서는 해당 플러그인들이 20,000개 이상의 활성 사이트에 설치되어 있다고 기록하고 있으나, 업체 측은 400,000건 이상의 설치와 15,000명의 고객을 보유하고 있다고 주장하여 실제 피해 규모는 더 클 것으로 예상됩니다. 이번 사건은 워드프레스 플랫폼이 플러그인의 소유권 변경 정보를 사용자에게 통지하지 않는 보안 취약점을 극명하게 드러냈습니다.
핵심 인사이트
- 공급망 공격 발생: 새로운 기업 소유주가 작년에 Essential Plugin을 인수한 후 코드에 백도어를 삽입하여 배포함.
- 피해 규모: 워드프레스 공식 통계상 20,000개 이상의 활성 설치가 확인되었으며, 업체 자체 주장으로는 400,000건 이상의 설치 기록이 있음.
- 발견 및 보고: Anchor Hosting 설립자 오스틴 긴더가 지난주 블로그를 통해 Essential Plugin의 소스 코드 내 백도어 존재를 최초로 경고함.
주요 디테일
- 백도어 활성화: 작년에 삽입된 백도어는 잠복기를 거쳐 2026년 4월 초부터 본격적으로 악성 코드를 유포하기 시작함.
- 구조적 결함: 워드프레스 사용자는 플러그인 소유권 변경 시 어떠한 알림도 받지 못하며, 이는 새로운 소유주에 의한 탈취 공격(Takeover attacks)에 무방비로 노출되는 결과를 초래함.
- 중복 사례: 오스틴 긴더는 이번 사건이 최근 2주 사이에 발견된 두 번째 워드프레스 플러그인 하이재킹 사례라고 지적함.
- 현재 조치: 문제가 된 플러그인들은 워드프레스 디렉토리에서 제거되었으며 상태가 '영구 폐쇄(permanent closure)'로 변경됨.
- 대응 권고: 이미 설치된 사이트의 경우 자동 삭제되지 않으므로, 웹사이트 소유자가 직접 감염된 플러그인을 확인하고 수동으로 제거해야 함.
향후 전망
- 보안 정책 강화 요구: 플러그인 소유권 변경에 대한 투명성 공개와 알림 시스템 도입에 대한 워드프레스 커뮤니티의 압박이 거세질 것으로 보임.
- 추가 피해 확인: 악성 코드가 활성화되었던 기간 동안 감염된 웹사이트들을 통한 2차 피해(데이터 탈취, 추가 악성코드 유포 등) 사례가 지속적으로 보고될 가능성이 높음.