플러그인의 오래된 XSS 취약점들이 문제의 근원...대부분 패치가 이미 나온 것들
[보안뉴스 문가용 기자] 1백만 개가 넘는 워드프레스 웹사이트들을 노리는 대형 사이버 공격 캠페인이 발견됐다. 배후의 공격자들은 워드프레스 플러그인과 테마들에서 오래 전에 발견된 XSS 취약점들을 노렸다고 한다. 공격의 목적은 데이터베이스의 크리덴셜인 것으로 보이지만, 다행히 그다지 성공적이지는 않았다고 한다.
[이미지 = utoimage]
공격자들은 먼저 워드프레스 환경에 설치되는 모든 프로그램들에 꼭 필요한 wp-config.php 파일을 다운로드 받으려고 했다. 이 파일은 워드프레스 파일 디렉토리의 루트에 위치하고 있으며 웹사이트의 데이터베이스 크리덴셜과 연결 관련 정보, 인증 키, 설트 등을 저장하고 있다. 이를 다운로드 하게 된다면 데이터베이스에 접근할 수 있게 되며, 따라서 모든 콘텐츠와 크리덴셜을 주무를 수 있게 된다고 한다.
이 캠페인을 제일 먼저 발견한 보안 업체 워드펜스(Wordfence)에 의하면 5월 29일과 31일 사이에 130만 개 사이트를 겨냥한 공격이 1억 3천만 번 발견됐다고 한다. 다행히 이 모든 공격을 막아내는 데 성공했다는 게 워드펜스의 설명이다. “30일이 가장 지독했습니다. 이 날 하루 동안 워드프레스 환경에 발생한 모든 사이버 공격 중 이번 캠페인이 혼자서 75%를 차지했거든요.”
워드펜스는 5월 초 워드프레스 플러그인과 테마의 XSS 취약점을 노린 공격도 같은 자들에 의한 것이라고 보고 있다. 이 공격은 4월 28일에 시작했고 다수의 워드프레스 사이트에 악성 자바스크립트를 심는 것을 목표로 이뤄졌다. 최종 목표는 관리자 세션에 침투해 백도어를 심는 것이었다. 2만개가 넘는 IP 주소들에서 공격이 시작됐는데, 이번 주말에 발생한 대형 캠페인의 IP 주소와도 상당히 겹친다고 한다. “다만 그때에 비해서 공격 표적이 훨씬 광범위해졌습니다.” 워드펜스가 설명하는 두 캠페인의 차이점이다.
하지만 워드펜스는 워드프레스 환경의 안전을 위해 공격자들이 익스플로잇 한 취약점들의 CVE 번호를 밝히지는 않았다. 다만 “오래된 취약점”이라는 것만 공개했다. “주로 주요 파일의 다운로드를 가능케 해주는 취약점들이었습니다. wp-config.php를 받기 위해서였지요.” 워드펜스가 자사 블로그를 통해 밝힌 내용이다.
그러면서 워드펜스는 “이번 캠페인의 표적이 되었거나 조금이라도 공격 시도가 감지된 웹사이트의 운영자라면 데이터베이스 비밀번호와 고유 인증 키를 변경하는 게 안전하다”고 권고했다. “만약 원격 데이터베이스 접근을 허용하는 방식으로 설정을 했다면, 공격자들이 크리덴셜을 확보함으로서 쉽게 접근해 사이트에 악영향을 끼칠 수 있습니다. 데이터를 조작하거나 삭제하거나 밖으로 빼내는 등의 일을 할 수 있다는 것이죠.”
그럼 설정을 바꾸면 괜찮을까? “원격 데이터 베이스 접근을 허용하지 않는다고 해도 공격자가 인증 키와 설트를 확보하면 보안 장치들을 우회함으로써 공격을 실시할 수 있습니다.” 그러므로 설정 조정에 더불어 플러그인 업데이트를 확인 및 적용하는 게 중요하다고 워드펜스는 강조한다. “워드프레스 플러그인들에서는 취약점이 끊임없이 나옵니다. 대부분 워드프레스 환경에서 일어나는 사고 역시 플러그인을 통해 일어나죠. 플러그인 관리가 워드프레스 보안에서는 핵심 중 핵심입니다.”
실제로 이번 캠페인에서 표적이 된 취약점들 거의 대부분이 이미 패치가 존재하는 것들이었다. 그러나 표적이 되었다는 건 사용자들이 패치를 하지 않았다는 뜻이다. “워드프레스 웹사이트를 운영하고 있고, 플러그인을 사용한다면 업데이트에 반드시 민감해져야 합니다. 그게 지금 이 생태계의 현실입니다. 이번 캠페인은 다행히도 거의 대부분 실패로 돌아갔지만, 또 이런 시도가 언제 다시 일어날 지 모르는 일입니다.”
3줄 요약
1. 지난 주말 워드프레스 사이트를 향한 공격이 1억 번 넘게 발생.
2. 공격 표적이 된 사이트는 100만 개가 넘음.
3. 공격자들이 노린 건 대부분 이미 패치가 된 XSS 취약점. 사용자 패치 적용이 절실.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>