AI 요약
최근 워드프레스 생태계에서 신뢰받던 플러그인들이 새로운 소유주에게 인수된 후 악성 소프트웨어로 변질되는 대규모 공급망 공격이 발견되었습니다. 공격자는 Flippa를 통해 'Countdown Timer Ultimate'를 포함한 30개 이상의 플러그인을 인수한 뒤, 2025년 8월 8일 배포된 2.6.7 버전부터 교묘하게 백도어를 삽입했습니다. 이 악성 코드는 약 8개월간 잠복해 있다가 2026년 4월 6일부터 본격적으로 작동하여 사이트의 wp-config.php 파일에 대량의 PHP 코드를 주입했습니다. 특히 이 공격은 C2(명령 및 제어) 도메인을 이더리움 스마트 계약을 통해 조회하는 방식을 사용해 전통적인 도메인 차단을 무력화했으며, 오직 Googlebot에게만 스팸 콘텐츠를 노출하여 사이트 관리자의 눈을 피하는 치밀함을 보였습니다. WordPress.org 팀이 강제 업데이트를 통해 대응했으나 이미 오염된 설정 파일은 복구되지 않아 수동 조치가 필요한 상황입니다.
핵심 인사이트
- 대규모 침해 사고: 총 30개 이상의 플러그인이 공격에 이용되었으며, WordPress.org는 이와 관련된 31개의 플러그인을 즉시 폐쇄 조치했습니다.
- 장기 잠복형 공격: 2025년 8월 8일 악성 코드가 포함된 v2.6.7이 출시된 후, 실제 공격 활성화까지 8개월간의 잠복 기간을 거쳤습니다.
- 블록체인 활용: 공격자는 이더리움 스마트 계약과 공용 RPC 엔드포인트를 사용하여 C2 서버 도메인을 동적으로 관리함으로써 보안팀의 도메인 테이크다운 시도를 차단했습니다.
주요 디테일
- 파일 변조 분석:
wp-config.php파일의 크기가 3,345바이트에서 9,540바이트로 급증했으며, 이는 2026년 4월 6일 04:22 UTC와 11:06 UTC 사이의 6시간 44분 창에서 발생했습니다. - 교묘한 파일명 사용: 시스템 핵심 파일인
wp-comments-post.php와 유사한wp-comments-posts.php(s 하나 차이)라는 파일을 생성하여 백도어를 숨겼습니다. - 위장 업데이트: v2.6.7의 체인지로그에는 '워드프레스 6.8.2 버전과의 호환성 확인'이라고 적혀 있었으나, 실제로는
class-anylc-admin.php파일에 191라인의 백도어 코드를 추가했습니다. - 은폐형 SEO 스팸: 일반 사용자에게는 정상적인 사이트를 보여주지만, 검색 엔진 봇에게만 스팸 링크와 리다이렉트를 노출하여 장기적인 SEO 피해를 입혔습니다.
- 자동 복구의 한계: WordPress.org의 강제 업데이트(v2.6.9.1)는 플러그인의 악성 통신 기능은 제거했지만, 이미
wp-config.php에 주입된 6KB 이상의 악성 코드는 삭제하지 못했습니다.
향후 전망
- 플러그인 소유권 변경 검증 강화: 오픈소스 커뮤니티 내에서 플러그인 소유권 이전 시 보안 감사를 의무화하거나 신뢰 점수를 부여하는 시스템 도입 논의가 가속화될 것입니다.
- 차세대 C2 대응 기술 요구: 블록체인을 활용한 도메인 확인 방식이 확인됨에 따라, 네트워크 보안 솔루션들이 공용 블록체인 RPC 쿼리를 모니터링하는 기능을 포함해야 할 필요성이 커졌습니다.