워드프레스 필수 플러그인 패키지서 백도어 발견

워드프레스 생태계에서 멀웨어가 발견됐다. 워드프레스 관련 사건의 99%가 그렇듯, 이번에도 플러그인이 문제다. 뮤플러그인(mu-plugins)이라는 것에 백도어 하나가 숨겨져 있었다고 보안 회사 수쿠리(Sucuri)가 발표한 것. 공격자는 이 백도어를 통해 피해자 시스템에 접근해 임의의 작업을 수행할 수 있다고 한다.

뮤플러그인은 ‘필수 사용 플러그인(must-use plugins)’의 준말이다. 말 그대로 필수로 설치해야 하는 플러그인들로, 워드프레스 설치 시 자동으로 활성화 된다. 워드프레스 관리자 폴더인 wp-admin에 직접 위치해 있지 않고, 또 다른 폴더인 wp-content/mu-plugins에 저장된다. “그렇다는 건 wp-admin의 플러그인 페이지에 있는 기본 플러그인 목록에 표시되지 않는다는 의미입니다. 워드프레스와 그 플러그인 설치 구조를 조금이라도 알아야 제거가 가능합니다.”

제거 난이도가 낮지 않다는 특성은, 공격자들이 좋아하는 것이다. 실력 좋은 공격자들은 피해자들이 멀웨어를 제거하지 못하게 하기 위해 여러 가지 방법을 동원하기도 한다. 스케줄러를 감염시켜 때마다 재설치 및 재활성화 되게 한다거나, 아이콘을 바꿔서 필수 앱처럼 보이게 한다거나, 레지스트리를 조작해 제거가 불가능하게 하는 등 그 기법은 이미 다량 존재한다. “뮤플러그인의 폴더에 백도어를 넣어둠으로써 이들을 탐지 기술을 효과적으로 회피하고 있습니다.” 수쿠리의 설명이다.

기본적으로 이 백도어는 다음 단계 페이로드를 가져와 저장하는 기능을 가지고 있다. 이 때의 페이로드는 ROT13이라는 암호화 알고리즘으로 난독화 된 URL에 저장돼 있다. ROT13은 해독이 그리 어렵지 않은, 기초적인 암호화 기술이다. “이 페이로드는 피해자 디스크에 저장되었다가 실행됩니다. 공격자는 이 페이로드를 통해 피해자 환경에 계속 접근해 원격 PHP 코드를 실행할 수 있게 됩니다.”

또 officialwp라는 이름의 관리자 계정도 생성한다. 관리자 계정이기 때문에 공격자는 이를 통해 여러 악성 행위를 실시할 수 있다. “저희가 발견한 경우에서 공격자는 이 관리자 계정을 통해 wp-bot-protect.php라는 악성 플러그인을 다시 한 번 다운로드 하여 실행했습니다. 피해자가 제거한다 하더라도 다시 복구되며, 원래 있었던 관리자 계정의 비밀번호를 공격자가 재설정할 수 있게도 합니다.” 다만 관리자 비밀번호가 미리부터 어렵게 설정돼 있다면 관리자 계정을 빼앗기지는 않을 수 있다고 한다.

여기까지 공격에 성공한 공격자는 피해자 워드프레스 사이트를 통해 다음과 같은 행위를 할 수 있게 된다.

1) 원래 관리자 계정 차단 및 악용

2) 데이터 탈취

3) 사이트 방문자를 멀웨어로 감염

4) 사이트 방문자를 피싱 사이트로 우회 접속

5) 이러한 것이 반복될 경우 사이트 평판 훼손

수쿠리는 “워드프레스 사이트 소유자나 관리자라면 테마와 플러그인을 주기적으로 업데이트 하는 게 가장 중요하다”고 강조한다. “중요한 계정은 이중인증으로 보호하고, 불필요한 플러그인이나 테마라면 과감히 삭제하는 게 좋습니다. 워드프레스는 원래부터 플러그인을 통한 공격이 잦은 기술입니다. 플러그인을 설치할 때 확인을 여러 번 하는 게 기본입니다.”

Related Materials

• Hidden Malware Strikes Again: Mu-Plugins Under Attack - Sucuri Blog, 2025년
• Hackers exploit little-known WordPress MU-plugins feature to hide malware - Bitdefender, 2025년
• Hiding WordPress malware in the mu-plugins directory to avoid detection - Security Affairs, 2025년
• Hackers Deploy Stealth Backdoor in WordPress Mu-Plugins to Maintain Persistence - The Hacker News, 2025년