워드프레스 플러그인 취약점, 이메일 인증정보 노출과 서버 장악 우려
워드프레스 생태계를 겨냥한 대규모 공격 시도가 이어지고 있다. 10만 개 이상 웹사이트에서 사용 중인 이메일 전송 플러그인과 약 100만 개 사이트에 설치된 인기 웹사이트 제작 플러그인에서 보안 취약점이 잇따라 확인되면서 관리자들의 신속한 점검과 업데이트가 요구되고 있다.
워드프레스 플러그인 취약점 확산
최근 보안업계에서는 Gravity SMTP 플러그인의 정보 노출 취약점과 Avada Builder 플러그인의 파일 삭제 취약점이 주요 위험으로 지목되고 있다. 두 취약점은 성격은 다르지만, 모두 워드프레스 운영 환경에서 추가 침해로 이어질 수 있다는 점에서 주의가 필요하다.
Gravity SMTP 취약점은 CVE-2026-4020으로 추적되고 있으며,
인증되지 않은 사용자가 민감한 시스템 정보를 확인할 수 있는 문제가 핵심이다.
Avada Builder 취약점은 CVE-2026-8713으로 분류되며,
서버 내 임의 파일 삭제로 이어질 수 있는 경로 조작 문제가 포함된다.
| 구분 | 영향을 받는 플러그인 | 주요 위험 | 조치 버전 |
|---|---|---|---|
| 정보 노출 | Gravity SMTP | 이메일 서비스 API 키, 인증 토큰, 시스템 정보 노출 가능성 | 2.1.5 이상 |
| 파일 삭제 | Avada Builder | 서버 내 주요 파일 삭제 및 사이트 장악 가능성 | 3.15.4 이상 |
이메일 인증정보까지 노출될 수 있는 Gravity SMTP 취약점
Gravity SMTP 취약점의 원인은 REST API 설정 오류다. 플러그인은 시스템 진단 보고서를 제공하는 기능을 갖고 있는데, 이 과정에서 접근 권한 검증이 충분히 적용되지 않아 외부 사용자가 관련 정보를 조회할 수 있는 상태가 됐다.
공격자가 확보할 수 있는 정보는 단순한 서버 상태에 그치지 않는다. 아마존 SES, 구글, 메일젯, 리센드, 조호 등 외부 이메일 서비스와 연동된 API 키, 인증 토큰, 비밀키가 포함될 수 있다. 워드프레스 버전, 설치된 플러그인 목록, 사용 중인 테마, PHP 환경 정보, 데이터베이스 구성 정보도 함께 노출될 가능성이 있다.
공격자는 탈취한 이메일 인증정보를 이용해 정상 기업이나 기관으로 위장한 메일을 보낼 수 있다.
또한 사이트 구성 정보를 바탕으로 취약한 플러그인, 오래된 테마, 서버 환경을 파악해 후속 공격을 설계할 수 있다.
관리자 입장에서 보면 이번 취약점은 사전 정찰 단계의 공격 성공률을 높이는 위험 요소다.
대규모 자동화 스캔과 공격 지표
Gravity SMTP 취약점을 노린 공격은 6월 초부터 급격히 증가한 것으로 알려졌다. 공격자들은 인터넷 전역을 대상으로 취약한 워드프레스 사이트를 찾기 위한 자동화 스캔을 진행하고 있으며, 웹방화벽에서 차단된 시도도 대규모로 관측되고 있다.
침해 여부를 확인하려는 관리자는 웹 서버 접근 로그에서
/wp-json/gravitysmtp/v1/tests/mock-data 요청 흔적을 확인해야 한다.
특히 ?page=gravitysmtp-settings 매개변수가 포함된 요청은
취약점 탐색과 관련된 대표적인 지표로 볼 수 있다.
- Gravity SMTP 버전이 2.1.5 이상인지 확인
- 웹 서버 로그에서 의심스러운 REST API 호출 기록 확인
- 노출 가능성이 있는 이메일 서비스 API 키와 토큰 교체
- 외부 이메일 발송 이력과 비정상 대량 발송 여부 점검
- 워드프레스 관리자 계정과 플러그인 권한 설정 재검토
Avada Builder 파일 삭제 취약점도 주의
같은 시기 Avada Builder 플러그인에서도 치명적인 취약점이 확인됐다.
CVE-2026-8713은 경로 조작 문제를 악용해
서버 내 임의 파일을 삭제할 수 있는 취약점이다.
인증 없이 악용될 수 있다는 점에서 파급력이 크다.
특히 워드프레스 핵심 설정 파일인 wp-config.php가 삭제될 경우
사이트가 초기 설치 상태처럼 전환될 수 있다.
이 상태를 공격자가 악용하면 관리자 권한 획득이나 악성코드 설치 등
추가 공격으로 이어질 가능성이 있다.
현재까지 모든 환경에서 동일한 방식의 피해가 발생한다고 단정할 수는 없지만, 공격 난이도가 낮고 결과가 치명적일 수 있다는 점에서 즉시 업데이트가 필요하다. Avada Builder를 사용하는 사이트는 3.15.4 이상 버전 적용 여부를 먼저 확인해야 한다.
관리자가 우선 확인해야 할 보안 조치
이번 사례는 워드프레스 플러그인 취약점이 이메일 계정 악용, 내부 정보 노출, 서버 파일 훼손, 사이트 장악 가능성으로 확대될 수 있음을 보여준다. 플러그인은 기능 확장에 필수적이지만, 사용 범위가 넓을수록 취약점 공개 이후 공격 표면도 빠르게 커진다.
| 점검 항목 | 관리자 조치 |
|---|---|
| 플러그인 버전 | Gravity SMTP 2.1.5 이상, Avada Builder 3.15.4 이상 적용 여부 확인 |
| 불필요한 플러그인 | 사용하지 않는 플러그인은 비활성화가 아니라 삭제까지 진행 |
| 접근 로그 | 취약 REST API 요청, 비정상 관리자 접근, 반복 스캔 흔적 확인 |
| 인증정보 | 이메일 서비스 API 키, SMTP 인증정보, 관리자 비밀번호 교체 |
| 방어 체계 | 웹 애플리케이션 방화벽 적용, 관리자 페이지 접근 제한, 백업 상태 확인 |
취약 버전을 사용한 기간 동안 외부 요청이 있었는지 확인해야 한다.
이메일 인증정보가 노출됐을 가능성이 있다면 키 교체와 발송 이력 점검을 함께 진행해야 한다.
파일 삭제 취약점이 의심되는 경우에는 백업 파일과 핵심 설정 파일의 무결성도 확인해야 한다.
신속한 업데이트가 핵심 보안 수칙
워드프레스는 전 세계 웹사이트에서 널리 사용되는 만큼, 인기 플러그인 취약점이 공개되면 공격자는 자동화 도구를 이용해 취약한 사이트를 빠르게 찾아낸다. 특히 이메일 전송 플러그인과 페이지 제작 플러그인은 운영 사이트의 핵심 기능과 직접 연결되는 경우가 많아 침해 시 피해 범위가 커질 수 있다.
관리자는 플러그인 최신 버전 적용 여부를 정기적으로 확인하고, 업데이트가 지연되는 플러그인은 대체 가능성을 검토해야 한다. 또한 관리자 페이지 접근 통제, 웹방화벽 적용, 로그 모니터링, 정기 백업을 함께 운영해야 취약점 공개 이후의 공격 확산을 줄일 수 있다.