누군가 플리파(Flippa) 마켓플레이스에서 31개의 워드프레스 플러그인을 한꺼번에 매입한 뒤, 모두에 백도어를 심었다. 정식 소유권이 이전된 2025년 8월 업데이트에 악성 코드를 삽입해 8개월간 잠복시킨 후, 2026년 4월 일제히 활성화했다. 40만 건 이상의 설치 사이트가 SEO 스팸과 이더리움 기반 C2 통신에 노출됐으며, 워드프레스 공식팀은 4월 7일 해당 31개 플러그인을 전부 영구 폐쇄했다.
“신뢰받는 플러그인 매입 후 백도어 주입”—새로운 공급망 공격 수법
이번 사건은 전통적 해킹(계정 탈취)이 아니라 합법적 사업 매매를 통한 공급망 공격이라는 점에서 주목받는다. ‘Kris’라는 가명을 쓰는 구매자는 SEO, 암호화폐, 온라인 도박 마케팅 경력을 가진 인물로, 플리파 마켓플레이스를 통해 ‘Essential Plugin(구 WP Online Support)’ 저자가 운영하던 31개 플러그인 포트폴리오를 약 6자리수 가격(수억 원대)에 일괄 매입했다. 플러그인 개발자 개인의 악의가 아니라, 사업 매매를 통해 공격자가 합법적 소유권과 공식 저장소(repository) 권한을 인수한 것이다.
이 합법적 이전 덕에 공격 초기 단계는 ‘평범한 업데이트’처럼 보였다. 2025년 8월 8일 배포된 버전 2.6.7은 체인지로그에 “워드프레스 버전 6.8.2 호환성 체크”라고만 기재했지만, 실제로는 191줄의 악성 코드와 PHP 역직렬화(deserialization) 백도어 경로를 포함하고 있었다. 이후 8개월간 코드는 휴면 상태로 유지됐다.
활성화의 순간: 2026년 4월 5일~6일
잠복했던 백도어는 2026년 4월 5일~6일 일제히 활성화됐다. 각 플러그인의 wpos-analytics 모듈이 analytics.essentialplugin.com으로 ‘집에 전화(phone home)’해 백도어 파일을 내려받는 구조였다.
| 단계 | 동작 |
|---|---|
| 1단계 | wpos-analytics가 외부 서버에 접속, wp-comments-posts.php 다운로드 |
| 2단계 | 워드프레스 정품 파일 wp-comments-post.php와 거의 동일한 이름으로 위장 |
| 3단계 | wp-config.php에 약 6KB PHP 코드 주입 (영구 지속성 확보) |
| 4단계 | 관리자 계정 ‘officialwp’ 생성, ‘admin’·’root’·’wpsupport’ 등 계정 비밀번호 탈취·변경 |
| 5단계 | 이더리움 스마트 컨트랙트를 통한 C2(명령·제어) 주소 동적 해석 |
| 6단계 | SEO 스팸 페이로드 배포 (검색엔진 크롤러만 인식, 일반 방문자엔 투명) |
특히 눈에 띄는 것은 이더리움 스마트 컨트랙트 기반 C2 채널이다. 공격자는 공개 블록체인 RPC 엔드포인트를 활용해 C2 서버 주소를 동적으로 업데이트할 수 있도록 설계했다. 이는 전통적인 도메인 차단(takedown)으로는 제거할 수 없는 분산형 인프라다. 블록체인의 불변성을 악성 코드 통신에 역이용한 드문 사례다.
SEO 스팸 페이로드는 정교했다. 구글봇 등 검색엔진 크롤러에게만 스팸 콘텐츠를 보여주고, 실제 방문자 브라우저에서는 아무것도 표시되지 않았다. 이 때문에 사이트 소유자가 공격을 직접 눈치채기 어려웠고, 감지까지 상당 시간이 소요됐다.
40만+ 설치, 1.5만+ 고객이 영향권
Essential Plugin 포트폴리오는 400,000건 이상의 플러그인 설치와 15,000명 이상의 유료 고객을 보유했다. 각 플러그인은 수천 개의 활성 사이트에서 사용됐다. 피해 범위에 들어간 대표 플러그인은 다음과 같다.
- Countdown Timer Ultimate (카운트다운 타이머)
- Popup Anything on Click (팝업)
- Post Grid and Filter Ultimate (포스트 그리드)
- WP Slick Slider (슬라이더)
- WP Team Showcase (팀 소개)
- WP Testimonial with Widget (후기)
- Album and Image Gallery Plus Lightbox (이미지 갤러리)
- Timeline and History Slider (타임라인)
- 각종 WooCommerce 확장 플러그인
워드프레스는 전 세계 웹사이트의 약 40%를 운영하는 CMS로, 이번처럼 대규모 공급망 공격이 발생하면 영향 범위가 기하급수적으로 커진다.
워드프레스 공식팀의 대응과 남은 과제
워드프레스닷오알지(WordPress.org) 플러그인팀은 활성화를 감지한 4월 7일 Essential Plugin 소속 31개 플러그인 전체를 같은 날 영구 폐쇄했다. 4월 8일에는 강제 업데이트(버전 2.6.9.1)를 배포해 ‘집에 전화’ 메커니즘을 비활성화했다.
하지만 문제는 남는다. 강제 업데이트로 코드 저장소는 정리됐지만, 이미 wp-config.php에 주입된 PHP 코드와 파일 시스템 레벨의 지속성 메커니즘은 제거되지 않는다. 따라서 해당 플러그인을 설치했던 사이트들은 공식 업데이트와 별개로 수동 클린업 절차를 반드시 진행해야 한다.
권장 조치는 다음과 같다:
– ‘officialwp’ 등 수상한 관리자 계정 확인·삭제
– wp-config.php에서 주입된 PHP 블록 점검·제거
– wp-content/mu-plugins 디렉토리 악성 파일 확인
– 모든 관리자 비밀번호 재설정·2FA 적용
– Wordfence, Sucuri 등 보안 플러그인으로 전체 스캔
한국 웹사이트 관리자에게 주는 경고
한국에서도 Essential Plugin 저작 플러그인은 다수의 소상공인·블로거 사이트에서 사용됐다. 특히 카페24, 고대디, 메가존 등 웹호스팅 고객 중 워드프레스 기반 사이트에서 이들 플러그인을 사용한 경우가 적지 않을 것으로 보인다.
이번 사건의 가장 큰 교훈은 ‘플러그인 소유권 이전’이 위협 신호가 될 수 있다는 점이다. 오랫동안 신뢰받던 플러그인이라도 개발자가 바뀌는 순간 전혀 다른 리스크에 노출된다. 사이트 관리자는 다음 습관을 들여야 한다:
- 플러그인 개발사·저자 변경 이력 주기적 확인
- ‘Changelog’의 업데이트 내용이 설명과 실제 코드 변경의 규모가 일치하는지 확인
- 불필요한 플러그인 제거 (플러그인 수 최소화 원칙)
- 업데이트 전 변경 내역 리뷰 또는 자동 업데이트 지연 설정
- 전문 보안 스캔 서비스 정기 실행
더 큰 맥락에서, 이번 사건은 오픈AI Axios 공급망 공격, 리눅스 XZ Utils 백도어, npm 타이포스쿼팅 등 오픈소스·플러그인 생태계를 노린 공급망 공격의 전면 확산을 보여준다. 한국 정부(KISA·금융보안원)와 웹호스팅 업계도 ‘플러그인 소유권 이전 모니터링’을 새로운 보안 영역으로 포함해야 할 시점이다.
© 2026 TechMore. All rights reserved. 무단 전재 및 재배포 금지.
기사 제보
제보하실 내용이 있으시면 techmore.main@gmail.com으로 연락주세요.
