워드프레스 도어웨이 공격 사건
워드프레스(WordPress)?
워드프레스는 블로그, 기업의 웹사이트에서 전자 상거래 플랫폼 등 다양한 유형의 웹사이트를 만드는 데 사용되는 도구입니다. 웹사이트를 구성하는데 필요한 도구들을 쉽게 사용할 수 있어서 그 편리함으로 전 세계 42%의 웹사이트가 워드프레스로 제작된다고 합니다.
워드프레스에 도어웨이(DoorWay) 공격?
최근에 테마라는 화면 구성을 바꾸기 위한 도구가 워드프레스에 설치되는 과정에서 워드프레스의 핵심 파일을 변경하는 상황이 발견되었다고 합니다.
아래는 코드이지만, 개발자가 아니어도 이해할 수 있도록 천천히 설명해 드릴게요.
<?php
/**
*
* The framework’s functions and definitions
*/
include '/var/lock/server.php';
워드프레스는 PHP라는 언어로 개발되었습니다. PHP 언어는 중복되는 기능을 별도의 파일에 모은 다음 해당 기능이 필요할 때 include라는 명령으로 작성 중인 파일에 포함시킬 수 있습니다.
위의 코드의 동작은 작성 중인 페이지에서 /var/lock/ 폴더에 있는 server.php 파일을 포함시킨 것입니다.
include 명령 자체는 문제가 되지 않습니다. 진짜 문제는 변경되지 않아야 할 워드프레스의 핵심 파일에서 도어웨이 공격을 위한 /var/lock/server.php 파일이 포함된 것입니다.
도어웨이 공격을 위한 파일이 포함되면 어떻게 될까요?
아래 코드는 /var/lock/server.php를 열어 일부를 발췌한 사진입니다.
is_bot()이라고 있는데, 여기서 봇(bot)은 구글과 같은 검색엔진에서 사이트가 어떤 내용으로 채워져 있는지 확인하기 위해 사용되는 도구라고 보면 됩니다.
해당 사이트에 검색엔진이 접속했다면, https://로 시작되는 외부 사이트에서 내용을 가져와 응답하라고 구현된 것입니다.
아래는 그 외부 사이트의 내용입니다.
복잡해 보이지만, 핵심만 설명할게요. 위 내용 중에 검색엔진이 좋아하는 것은 title, description 이 포함된 내용들입니다. 상세히 보면, Slot Thailand 가 보이시죠? 결국 해당 테마를 설치하면 태국의 도박 광고를 해주게 됩니다.
/var/lock/server.php 파일이 하는 역할이 나타났습니다. 정리해서 말씀드리면, 단순히 테마만 바꾸려고 한 것인데, Thailand의 도박 사이트를 홍보해 주는 꼴이 되어버린 것입니다.
구글과 같은 검색엔진은 참조하고 있는 사이트가 많으면, 참조된 사이트의 신뢰도가 올라가 검색 순위를 올려주기 때문에 공격자는 이러한 공격을 펼치게 됩니다.
더 나아가서 공격자가 자신이 만든 악성코드가 포함된 페이지에 많은 사람들이 접근할 수 있도록 검색 순위를 높이려는 공격도 시도할 수 있지 않을까 생각해 봅니다.
어떻게 예방할 수 있을까요?
도어웨이 공격은 우리가 잘 모르는 사이에 사이트의 신뢰성을 무너뜨리고, 검색엔진에서 불이익을 받을 뿐만 아니라 사용자들에게도 악영향을 끼칩니다. 이런 문제를 예방하기 위해 다음과 같은 조치를 취할 수 있습니다.
- 신뢰할 수 있는 테마와 플러그인 사용하기
- 테마와 플러그인을 설치하기 전, 항상 공식 워드프레스 저장소 또는 신뢰할 수 있는 제공자에서 다운로드하는 것이 중요합니다.
- 코드 변경 감지 및 모니터링
- 핵심 파일이 변경되는 것을 주기적으로 확인하세요.
블랙 쏘세지는 링크로 인한 다양한 위협으로부터 보호합니다.
블랙 쏘세지는 서버에서 링크를 열고 안전한 화면만 전달해 주기 때문에 어떠한 링크도 안전하게 볼 수 있습니다.
