워드프레스 위협 ‘GrayCharlie’ 확산: 악성 자바스크립트로 RAT 유포와 지속성 확보

워드프레스의 검은 그림자 ‘GrayCharlie’…악성 자바스크립트로 RAT 감염 확산

‘GrayCharlie’로 명명된 위협이 워드프레스(WordPress) 웹사이트를 침해해 악성 자바스크립트를 삽입하고, 방문자에게 가짜 브라우저 업데이트 또는 위조 CAPTCHA를 띄워 사용자가 직접 악성 파일을 실행하도록 유도하는 공격이 보고됐다. 감염이 성사되면 원격제어 악성코드(RAT)와 정보탈취 악성코드가 설치되고, 레지스트리 실행 키 등으로 지속성까지 확보하는 형태다.

운영 환경에서는
이번 유형은 “웹사이트가 감염 매개체”가 되기 때문에, 피해가 내부 단말에만 머물지 않습니다.
웹 운영자·보안팀 입장에선 방문자 보호와 침해 확산 차단을 동시에 고려해야 합니다.

핵심 요약

한 줄 정리
워드프레스 사이트에 악성 스크립트가 주입되고, 방문자에게 “업데이트/캡차”로 위장한 실행을 유도해 RAT를 퍼뜨리는 흐름이다.

• 초기 진입: 워드프레스 사이트 침해 또는 공급망 경유(IT 서비스 업체 등) 가능성.
• 유포 방식: DOM에 스크립트 태그 삽입 → 브라우저/OS 정보 수집 → 가짜 업데이트/위조 CAPTCHA 표시.
• 페이로드: NetSupport RAT, Stealc 등 정보탈취형 악성코드, SectopRAT 등 원격 제어 계열 추가 정황.
• 지속성: PowerShell 실행 → AppData 경로 다운로드 → 레지스트리 실행 키 등록 등.
• 은닉: TCP 443 포트/SSH 활용, 정상 트래픽으로 위장한 C2 운영 패턴.

공격 흐름: “웹사이트 침해 → 브라우저 유도 → 사용자 실행”

1) 워드프레스 페이지에 악성 스크립트 삽입

공격자는 정상 사이트의 DOM에 <script>를 끼워 넣어 외부 악성 도메인을 호출하게 만들고, 방문자의 브라우저/OS 정보 등을 수집해 다음 단계(유도 화면)를 개인화할 수 있습니다.

2) 가짜 업데이트 / 위조 CAPTCHA로 실행 유도

사용자가 “업데이트가 필요하다”거나 “사람인지 확인하라”는 화면을 신뢰하도록 설계한 뒤, 파일 다운로드 및 실행을 스스로 하게 만드는 것이 포인트입니다. 기술적으로는 브라우저가 막기 어려운 사회공학 구간이므로, 조직 단위의 교육·정책이 중요해집니다.

3) 악성코드 설치 및 원격 제어

실행 이후에는 RAT/정보탈취 악성코드가 설치되어 원격 제어, 크리덴셜/브라우저 데이터 탈취, 추가 페이로드 설치 등으로 이어질 수 있습니다.

현장에서 자주 놓치는 지점
“웹사이트가 해킹됐다”는 사실보다,
그 사이트를 통해 내부 사용자 단말까지 감염될 수 있다는 점이 더 위험합니다.

공급망 관점: 왜 ‘한 번’ 뚫리면 크게 번지나

조사 정황상 특정 IT 서비스 업체를 경유한 공급망 침해 가능성이 언급된다면, 단일 고객사가 아니라 여러 사이트에 동일/유사 스크립트가 동시에 확산될 수 있습니다. 특히 여러 사이트를 관리하는 유지보수 업체, 공용 관리 계정, 동일한 배포 파이프라인이 얽혀 있을수록 “감염 규모”가 커질 위험이 있습니다.

확산이 빨라지는 조건	현장 체크 포인트
공용 관리자 계정(또는 동일 비밀번호) 사용	관리자 계정 분리, MFA 적용, 비밀번호 정책(길이/재사용 금지) 점검
여러 사이트를 한 서버/패널에서 운영	사이트별 권한 분리, 파일 권한 최소화, 운영 계정 분리
테마/플러그인 공급망(업데이트/배포) 관리 미흡	서명/무결성 점검, 출처 불명 플러그인 제거, 업데이트 경로 통제
외부 스크립트 다수 로딩	CSP 적용, SRI(Subresource Integrity) 도입 검토

침해 징후: 웹 운영자·보안팀이 먼저 확인할 것

웹사이트(서버/코드) 관점

• 템플릿/테마 파일에 낯선 <script src="..."> 추가 여부
• 헤더/푸터/공용 레이아웃에 외부 도메인 호출이 갑자기 늘었는지
• 최근 배포 이력/파일 수정 시간과 운영자 활동 로그가 불일치하는지
• 워드프레스 관리자 계정이 증가했거나 권한이 변경됐는지

사용자(단말) 관점

• 브라우저 방문 중 “업데이트 필요” 팝업이 뜨고 실행 파일 다운로드를 요구
• 정상 사이트인데도 CAPTCHA가 과도하게 뜨거나, 다운로드/실행을 전제로 진행
• 감염 이후: 의심스러운 PowerShell 실행 흔적, AppData 하위 신규 실행 파일, 자동 실행 등록

중요
사용자 단말에서 “내가 뭘 눌렀는지”를 기억하지 못하는 경우가 많습니다.
따라서 보안팀은 팝업 캡처 요청만으로 끝내지 말고, 의심 사이트 접속 이력 + 다운로드 이력 + 실행 흔적을 함께 묶어 확인하는 편이 안전합니다.

방어/대응 가이드: 지금 당장 할 수 있는 조치

A. 워드프레스 운영자(웹사이트) 체크리스트

즉시 조치(우선순위)
1) 의심 스크립트 제거 및 배포 중단(가능하면 점검 모드 전환)
2) 관리자 계정 전체 점검(MFA 적용, 불필요 계정 삭제, 비밀번호 강제 변경)
3) 플러그인/테마 최소화(미사용 비활성화가 아니라 “삭제”까지)
4) 파일 무결성 점검(최근 변경 파일 중심) 및 백도어 여부 확인
5) 재감염 방지: 취약점 패치 + 파일 권한 최소화 + 업로드 제한 강화

B. 보안팀(네트워크/엔드포인트) 체크리스트

• 알려진 악성 도메인/IP 및 의심 신규 도메인에 대한 차단 정책 적용
• 프록시/EDR에서 “가짜 업데이트” 유도 페이지 접속 패턴 탐지 룰 강화
• PowerShell 기반 다운로드·실행 행위 모니터링(정상 업무 예외 정책은 최소화)
• 감염 의심 단말은 네트워크 격리 후 포렌식(브라우저 다운로드/실행 흔적 포함)

C. 사용자 안내 문구(내부 공지에 바로 쓰는 버전)

공지 템플릿
정상 웹사이트에서도 “브라우저 업데이트” 또는 “CAPTCHA 확인”을 이유로 파일 실행을 요구할 수 있습니다.
업데이트는 반드시 공식 설정/공식 스토어에서 진행하세요.
웹페이지가 파일 실행을 요구하면 즉시 창을 닫고 보안 담당자에게 URL과 화면 캡처를 전달해 주세요.

예방 설정 팁: 외부 스크립트를 통제하는 방법

아래 항목은 “확실히 막는” 만능키라기보다, 재발 방지와 피해 최소화를 위한 안전장치입니다.

1) CSP(Content Security Policy)로 스크립트 로딩 범위를 제한

가능한 경우, 스크립트 로딩 도메인을 화이트리스트로 제한해 무단 외부 스크립트 호출을 줄일 수 있습니다. 적용 시 기존 기능(광고/분석/위젯)이 깨질 수 있으므로, 단계적으로 테스트하는 편이 좋습니다.

Content-Security-Policy: script-src 'self' https:; object-src 'none'; base-uri 'self';

2) SRI(Subresource Integrity)로 외부 스크립트 무결성 확인(가능한 경우)

CDN 스크립트 등을 쓸 때 해시 기반 무결성 검증을 붙이면 변조 위험을 낮출 수 있습니다.

3) 워드프레스 기본 보안 위생

• 관리자 URL 보호(제한된 IP 접근, 추가 인증, 로그인 시도 제한)
• 업로드 디렉터리에서 실행 차단(서버 설정으로 스크립트 실행 제한)
• 파일 권한 최소화(쓰기 권한 남발 금지), 웹쉘 탐지 정기 점검

관리자 입장에서
“패치만 하면 끝”이 아니라, 외부 스크립트/권한/배포 경로를 통제해야 재발 가능성이 내려갑니다.

FAQ

Q1. 그냥 플러그인 업데이트만 하면 해결되나요?

취약점이 원인이라면 업데이트는 필수지만, 이미 침해가 있었다면 “주입된 스크립트/백도어 제거 + 계정/키 재발급 + 무결성 점검”이 함께 필요합니다.

Q2. 정상 사이트에서도 가짜 업데이트가 뜰 수 있나요?

가능합니다. 이번 유형은 “정상 사이트를 감염 매개체로 바꾸는” 방식이기 때문에, URL만 보고 안전하다고 단정하기 어렵습니다.

Q3. 가장 빠른 1차 확인은 무엇인가요?

공용 템플릿(헤더/푸터)과 최근 수정 파일에서 낯선 외부 스크립트 호출을 먼저 확인하고, 동시에 관리자 계정 목록/로그인 로그를 점검하는 것이 효율적입니다.

마무리

GrayCharlie 유형은 워드프레스 침해가 단지 웹사이트 문제로 끝나지 않고, 방문자 단말의 RAT 감염으로 이어질 수 있다는 점에서 위험도가 높습니다. 특히 공급망 경유 가능성이 거론되는 상황이라면, “한 곳을 고쳐도 다시 감염”될 여지가 있으므로 계정·배포·외부 스크립트 관리까지 함께 정리해야 합니다.

가장 중요한 것은 무단 스크립트 삽입 상시 점검과 가짜 업데이트/위조 CAPTCHA 대응 교육입니다. 두 축을 동시에 잡으면 감염 확산 가능성을 의미 있게 낮출 수 있습니다.