전 세계 웹 사이트 시장 점유율의 35%는 웹 호스팅에 의지하고 있으며, 실제로 4억 5천 5백만 개 이상의 웹 사이트에서 WordPress를 사용하고 있습니다. 매달 적어도 4억 명의 사람들이 WordPress 웹 사이트에 접속할 정도로 WordPress는 우리에게서 떼놓을 수 없는 존재라고 할 수 있지요. 이번 글에서는 WordPress 사이트에서 발생할 수 있는 사이버 위협으로부터 당신의 인터넷 환경을 어떻게 안전하게 보호할 수 있는지, 그리고 그중에서 VPN과 광고 차단 도구가 정확히 어떤 역할을 하는지 알아보도록 하겠습니다.
이 글은 외부 필자로부터 제공 받은 원고를 정보 공유 목적으로 싣는 것이며 특정 서비스를 추천하는 것은 아닙니다. 이 워드프레스 블로그의 주제와 부합하는 유용한 자료를 보내 주시면 검토 후 게재해 드릴 수 있습니다. 홍보 목적의 글을 게재하기를 원하는 경우 협찬 포스팅이 가능하며 네이버 카페를 통해서도 홍보가 가능합니다. 협찬 포스팅 의뢰는 여기에서 문의해주시기 바랍니다.
WordPress에 도사리고 있는 위협
전 세계에서 웹페이지 제작 및 관리를 위해 가장 많이 사용되고 있는 콘텐츠 관리 시스템(CMS)인 WordPress. 2012년에는 전 세계 웹페이지의 1/6 정도가 워드프레스를 통해 제작되었으며 국내에서도 서울시청 홈페이지 및 삼성, LG, CJ 등의 기업에서 브랜드 웹페이지 제작에 활용되기도 했습니다. WordPress에는 정말 좋은 양질의 콘텐츠가 많지만, 해당 콘텐츠가 사이버 공격, 특히 광고를 통한 멀버타이징 공격에 취약하다는 사실, 알고 계셨나요?
실제로 2018년의 CMS 웹 사이트 해킹 사례를 확인해보면, 전체 사례 중 무려 90%를 WordPress가 차지한 것을 볼 수 있습니다. 하지만 여기서 주목할 점은 바로 WordPress 자체의 데이터 침해는 단 2%에 불과하다는 것입니다. 즉, 대부분의 피해자는 바로 일반적으로 취약한 플러그인으로 WordPress 사이트에 접근한 뒤 멀웨어나 악성 광고의 위협에 노출된 사용자였습니다.
사이버 공격 및 해킹 시도는 사용자의 중요한 개인 정보뿐만 아니라, 웹 사이트의 기능 및 온라인 평판을 손상시킬 수 있습니다. 사이트 방문자들까지 이러한 위험에 노출될 수 있지요. 따라서 운영 중인 WordPress 웹 사이트의 사용 환경을 보호하려면 가상 사설망(VPN) 사용 등을 통해 강력한 보안 조치를 구현하는 것이 중요합니다.
악성 광고를 통한 WordPress 해킹 공격
모두 잘 알고있듯이, 악성 광고 또는 링크를 잘못 클릭하게 되면 자격 증명 도난, 금전적 손실 또는 멀웨어 감염이 발생할 수 있습니다. WordPress를 대상으로 하는 사이버 공격 사례 중 가장 흔한 것이 바로 이러한 악성 광고의 클릭을 사용하는 수법입니다.
2023년 사이버 보안 회사 Securi가 발간한 보고서에 따르면, 사이트에 사기성 광고를 게재하여 피해자를 가짜 페이지로 리디렉션하는 멀버타이징 공격에 14,000명 이상의 WordPress 사용자가 감염되어 있었습니다. 이 악성 리디렉션 수법은 공격자 자신의 사이트로 트래픽을 유도하고 검색 엔진 최적화(SEO) 수치를 개선하여 Google 검색에서 더 눈에 잘 띄도록 만들려는 의도인 것으로 보입니다.
여기서 더 큰 문제는 이러한 리디렉션 웹페이지에는 많은 경우 대량의 악성 파일이 포함되어 있다는 것입니다. 9월과 10월에만 2,500개 사이트에서 20,000개의 멀웨어를 발견했습니다. 피해자가 멀웨어 링크를 클릭하는 순간 피해자의 사이트 또한 감염되면서 웹 사이트 트래픽 및 순위와 같은 사이트 내의 리소스를 도난당할 수 있습니다.
광고 차단과 안티 멀웨어 툴을 사용하여 이런 위험한 광고나 악성 코드에 노출될 기회 자체를 미리 제거한다면 더욱 안전하고 원활한 인터넷 환경을 누릴 수 있습니다. 또한 VPN을 사용하면 모든 트래픽을 안전하게 암호화할 수 있어 해커의 추적으로부터 사용자의 IP와 데이터를 보호할 수 있으며 기타 온라인 위협으로부터 추가 보호를 누릴 수 있습니다.
WordPress 관련 사이버 공격 최신 사례
실제로 올해 2월, WordPress 웹 사이트 호스팅 업체인 고대디(GoDaddy)가 다년간 사이버 공격의 표적이 되었다는 것이 밝혀졌습니다. 고대디는 일부 고객들로부터 호스팅 된 웹 사이트로 접속하면 다른 사이트들로 우회된다는 불만 사항을 접수했고, 회사 내 씨패널(cPanel)에 멀웨어가 설치되어 있는 것을 발견했습니다. 지난 수년 동안 사이버 공격자들은 고대디 내부 시스템에 멀웨어를 심고 여러 가지 정보를 훔쳐 달아난 것입니다.
또한 올해 초에는 암호화폐를 채굴할 목적으로 리눅스 환경을 노리는 멀웨어 킨싱이 다시 기승을 부렸습니다. 원격 코드 실행의 취약점들을 내포하고 있는 컨테이너 이미지들을 노리는 킨싱은 WordPress 애플리케이션 이미지를 악용하여 공격자들이 원하는 악성 페이로드를 실행합니다. 최근 MS의 보안 전문가 순더스 브루스킨(Sunders Bruskin)이 발견한 바에 의하면, 킨싱 운영자들이 공격 대상을 기업용 애플리케이션을 관리 및 구축하는 데 사용되는 오픈소스 컨테이너 도구인 쿠버네티스로 전향한 것으로 밝혀졌습니다.
이렇게 나날이 발전하고 있는 WordPress 관련 사이버 공격을 어떻게 하면 미리 막을 수 있을까요?
WordPress 웹 사이트의 보안 수준을 향상시키는 방법
WordPress 사용자 개인 뿐만 아니라 웹 사이트 방문자들을 위해서도 절대 방심할 수 없는 WordPress 보안, 운영 중인 WordPress 웹 사이트의 보안 수준을 높일 수 있는 10가지 방법을 알려드리겠습니다.
보안이 보장된 WordPress 호스트 선택하기
안전한 WordPress 호스트를 선택하는 것은 가장 기본적인 위험을 관리할 수 있는 방법입니다. WordPress 호스트는 웹 사이트 보안에 중요한 역할을 하므로, 단순히 유명한 호스팅 공급자만 선택할 것이 아니라, 서버 수준에서 여러 보안 계층을 제공하는 호스팅 공급자를 선택하는 것이 중요합니다. 의심스러울 정도로 저렴한 호스팅 공급자는 피하는 것이 좋습니다. 상대적으로 저렴한 가격에 서비스를 제공하는 호스팅 공급자의 경우, 보통 여러 문제가 숨겨져 있기 때문입니다.
항상 WordPress 테마 및 PHP 버전 업데이트하기
하이퍼텍스트 프리프로세서(PHP)는 WordPress 웹 사이트의 필수적인 부분입니다. 하지만 WordPress 통계에 따르면, 32%의 사용자가 아직 구식 PHP를 사용하여 웹 사이트를 실행한다고 합니다. PHP 7.1 이하 버전을 실행 중인 WordPress 사용자들은 사이버 공격의 위험에 더 취약하기 때문에 주의해야 합니다. 이전 버전에서 발견된 보안 취약성이나 문제는 최신 버전으로 업데이트해야만 해결할 수 있습니다.
미사용 플러그인 비활성화 및 사용 플러그인 업데이트
WordPress 웹 사이트의 주요 특징 중 하나는 웹 활동을 활성화하기 위해 사용자가 플러그인을 설치해야 한다는 것입니다. Wordfence에 따르면 2016년 사용자 데이터 침해의 경우, 보안에 취약한 플러그인을 사용한 WordPress 사용자가 거의 60%를 차지했다고 합니다. 보안이 확인되지 않은 플러그인으로 웹 사이트를 실행하면 사이트가 위험해질 수 있습니다. WordPress 웹 사이트의 보안을 향상시키려면 사용하지 않는 플러그인 및 테마를 비활성화하는 것이 중요합니다. 사용되지 않는 항목을 그대로 둔다면 해커가 악용할 수 있고, 보안상의 취약성을 나타낼 수 있습니다.
또한 보안 플러그인을 설치한 후에도 항상 최신 상태로 유지하기 위해 유의해야 합니다. 일부 플러그인은 사용자에게 자동화된 데이터베이스 백업, 멀웨어 스캐너 및 내장 방화벽에 대한 액세스를 제공합니다. 최신 버그 수정, 보안 업데이트 및 버전 업그레이드를 다운로드하지 않으면 플러그인이 위험에 처하게 되며, 해커가 접근할 수 있는 게이트웨이가 생성될 수 있습니다.
강력한 보안의 비밀번호 사용하기
실제로 많은 사용자들은 보안 비밀번호의 중요성을 간과하고 있습니다. 일반적으로 추측하기 어려운 비밀번호를 사용하는 것은 디지털 시스템을 보호하기를 원하는 모든 사용자가 취할 수 있는 가장 기본적이며 효과적인 방법입니다. 몇몇 사람들은 어려운 비밀번호를 설정할 경우, 쉽게 잊어버린다고 불평합니다. 그럴 때는 WordPress 비밀번호를 PC의 암호화된 데이터베이스에 보관하거나, 온라인 비밀번호 관리자 소프트웨어를 사용할 수 있습니다. 이렇게 하면 클라우드 저장소에서 비밀번호를 안전하게 유지할 수 있습니다.
보안 질문 추가하기
WordPress 사용자는 보안을 강화하기 위해 보안 질문을 설정할 수 있습니다. 추가 보안 질문에 답을 설정해두면, 비밀번호를 재설정하거나 웹 사이트에 로그인하기 전에 미리 정해진 질문에 정확히 대답해야 하기 때문에 해킹 방지에 유용합니다.
2단계 인증 사용하기
2단계 인증(2FA)은 사용자가 자신의 신원을 확인하기 위해 두 가지 다른 인증 방법을 사용해야 하는 추가 웹 보안 계층입니다. 대부분의 경우 사용자의 전화 또는 이메일 주소로 전송된 코드 또는 개인적인 비밀 질문이 포함됩니다.
로그인 시도 횟수 제한하기
기본적으로 WordPress 계정에 로그인할 수 있는 최대 횟수는 없습니다. 즉, 비밀번호를 잊어버린 경우 사이트에서 별다른 제한이 없으며 사용자는 계속 로그인을 시도할 수 있습니다. 비밀번호를 잊어버리기 쉬운 경우 이러한 점이 좋아 보일 수 있지만, 이는 WordPress 웹 사이트를 위험에 빠뜨릴 수도 있습니다. 최대 로그인 시도 횟수를 3으로 설정하면 사이트는 특정 기간 초과 로그인 시도 사용자의 계정을 잠급니다.
SSL로 웹 사이트 데이터 암호화하기
WordPress 웹 사이트를 보호하는 가장 좋은 방법 중 하나는 SSL(Secure Socket Layer)을 추가하는 것입니다. 웹 사이트에 SSL 인증서를 추가하면 서버와 방문자 간의 데이터 전송이 암호화됩니다. 또한 웹 사이트를 HTTP에서 HTTPS로 전환합니다. HTTP 사이트를 사용하면 해커가 중간자 공격을 사용하여 웹 사이트 방문자가 서버로 전송하는 데이터를 볼 수 있으므로 데이터 침해 및 기타 사이버 공격 결과가 발생하기 때문에 주의해야 합니다.
VPN 및 광고 차단 기능 활용
WordPress 사이트 운영 시 VPN을 사용할 경우, WordPress 전반의 보안을 향상할 수 있습니다. WordPress 사이트에서 이미 SSL을 사용하는 경우 VPN을 사용하면 운영자의 활동이 여러 암호화 계층 뒤에 활동이 완전히 숨겨집니다. NordVPN의 경우, 바이러스 및 위협 방지를 통해 전반적인 온라인 보안을 강화할 수 있으며, 훨씬 더 안전하고 프라이빗한 온라인 경험이 가능해집니다. 바이러스 및 위협 방지기능에 포함되어 있는 광고 차단 기능이 멀버타이징 공격으로부터 WordPress 웹 사이트를 보호할 뿐만 아니라 안티 멀웨어 기능으로 다운로드 중 멀웨어를 탐지하여 악성 프로그램의 침입을 차단합니다. 또한 사용자의 IP를 숨김으로써 해커 또는 인터넷 공격자의 추적을 막을 수 있습니다. WordPress 웹 사이트 운영자라면 특히 VPN 사용을 추천하는 이유입니다.
참조
- https://www.boannews.com/media/view.asp?idx=114608&kind=
- https://www.boannews.com/media/view.asp?idx=113430&kind=
- https://nordvpn.com/ko/features/threat-protection/ad-blocker/
- https://kubernetes.io/ko/
댓글 남기기