수십만 워드프레스 사이트 대상 대규모 공격…구텐킷·헌크 컴패니언 취약점 악용

 

수십만 워드프레스 사이트 대상 대규모 공격…구텐킷·헌크 컴패니언 취약점 악용

최근 전 세계 수십만 개의 워드프레스 웹사이트가 구버전 플러그인 취약점을 노린 대규모 공격에 노출됐다. 공격자는 구텐킷(GutenKit)과 헌크 컴패니언(Hunk Companion) 플러그인의 권한 검증 누락 취약점을 악용해 인증 절차 없이 악성 플러그인을 설치하고 원격 코드 실행(RCE)을 수행한 것으로 파악된다.

단 이틀에 수백만 건 시도 차단

보안업체 워드펜스(Wordfence)에 따르면 10월 8일부터 9일까지 이틀 동안 약 870만 건(8,700,000건)의 공격 시도가 차단됐다. 공격은 주로 REST API 엔드포인트를 통해 인증 없이 플러그인 설치·활성화를 유도하는 방식으로 진행되었다.

취약점(요약) — 즉시 점검·업데이트 필요

• 구텐킷 (GutenKit) — CVE-2024-9234: 버전 2.1.0 이하에서 권한 검증 누락. 임의 플러그인 설치 가능. 심각도 9.8(치명). 패치는 2.1.1에서 적용(2024년 10월 공개).
• 헌크 컴패니언 (Hunk Companion) — CVE-2024-9707, CVE-2024-11972: 각각 버전 1.8.4 이하, 1.9.0 이전에서 권한 검증 누락. REST 엔드포인트를 통해 인증 없이 플러그인 설치 가능. 패치는 1.9.0에서 적용(2024년 12월 공개).

공격 흐름(관찰된 행위)

공격자는 다음과 같은 절차로 침투를 시도한 것으로 보고된다.

1. 인터넷 스캔으로 취약한 버전의 사이트 식별
2. 취약 엔드포인트에 요청 전송: /wp-json/gutenkit/v1/install-active-plugin, /wp-json/hc/v1/themehunk-import 등
3. 외부(예: 깃허브)에 올라간 ZIP 형태의 악성 플러그인(예: 파일명 up)을 내려받아 설치
4. 내부의 난독화 스크립트를 통해 파일 업로드·삭제·권한 변경 수행, 관리자 권한 탈취 및 백도어 설치
5. 추가 취약 플러그인(예: wp-query-console) 설치로 RCE 확보

감염 징후(체크리스트)

워드펜스는 다음 디렉터리에 비정상 파일이 존재하면 감염 가능성이 높다고 경고한다:

• /up
• /background-image-cropper
• /ultra-seo-processor-wp
• /oke
• /wp-query-console

또한 관리자 권한 없이 플러그인 설치가 이루어졌거나, 알 수 없는 관리자 계정·의심스러운 스케줄드 태스크(cron)·비정상적인 파일 수정 이력이 보이면 즉시 점검해야 한다.

왜 공격이 계속되는가?

개발사가 패치를 배포했음에도 공격이 지속되는 이유는 다음과 같다.

• 많은 운영자가 버전 업그레이드를 미루거나 플러그인 호환성 문제로 구버전을 유지.
• 워드프레스 플러그인 구조상 REST API를 통한 설치·활성화가 정상 기능으로 존재해 공격 탐지가 어려움.
• 소규모 사이트 운영자들은 자동 업데이트를 사용하지 않거나 보안 모니터링이 취약.

권장 대응 조치 (즉시 시행 권고)

1. 즉시 버전 확인 및 업데이트 — GutenKit <= 2.1.0, Hunk Companion <= 1.8.4/1.9.0 미만 사용 시 최신 패치(각 패치버전)로 업데이트.
2. 의심 파일·디렉터리 점검·삭제 — 위의 체크리스트 디렉터리 및 루트에 이상 파일 존재 여부 확인하고 격리/삭제.
3. 관리자 계정·자격 증명 변경 — 관리자 비밀번호, API 키, DB 접속 정보 등 즉시 회수 및 교체.
4. 웹쉘·백도어 검색 — 난독화된 PHP 파일, 익명 업로드 파일, 불필요한 실행 파일을 스캔. 알려진 IOC(Indicators of Compromise) 검색.
5. 로그·변경 이력 분석 — 접근 로그와 파일 변경 로그를 확인해 침해 시점 및 범위 파악.
6. 강화된 WAF 규칙 적용 — REST 경로에 대한 추가 차단 또는 IP/요청률 제한 적용 검토.
7. 임시 조치 — 패치 적용 전까지 불필요한 REST 엔드포인트 비활성화(가능 시), 플러그인 설치 권한을 관리자 계정으로만 제한.
8. 백업/복원 계획 점검 — 감염 시 백업 복원 절차를 준비. 백업 파일도 감염 여부 점검.
9. 전문가 의뢰 — 대규모 사이트나 의심스러운 정황이 있는 경우 보안 업체에 포렌식·클린업 의뢰 권장.

운영자에게 남기는 한마디

패치가 배포된 직후 공격이 시작되는 사례는 흔하다. 따라서 “나중에 업데이트하겠다”는 방침은 큰 위험을 초래할 수 있다. 즉각적인 버전 확인과 패치 적용, 그리고 의심 징후의 철저한 점검이 필요하다. 특히 중소형 사이트 운영자는 자동 업데이트와 주기적 스캔 도입, 최소 권한 원칙 적용을 검토해야 한다.

보안은 한 번의 조치로 끝나는 작업이 아니다. 이번 사례는 플러그인 보안과 업데이트 관리가 얼마나 중요한지를 다시금 일깨워준다.

반응형