워드프레스 기반 웹사이트 보안 지키기

직접 코딩을 할 줄 몰라도 멋진 웹사이트를 만들게 해주는 워드프레스는 가장 인기 있는 CMS시스템으로 꼽히고 있습니다. 그런데 최근 워드프레스를 이용한 웹사이트들이 해커에게 악의적인 공격을 당하는 사례가 늘고 있습니다. 오늘 우리는 워드프레스 기반의 웹사이트에서 발생한 보안 취약점 사례를 분석해 보겠습니다. 그리고 보안 VPN 프로토콜 및 여러 가지 방법으로 해커의 공격을 방어해내는 방법을 제시하겠습니다.

이 포스팅은 외부 필자로부터 제공 받은 원고를 기반으로 정보 공유 목적으로 작성되었습니다. 본 워드프레스 블로그의 주제와 부합하는 유용한 자료를 보내 주시면 검토 후 게재해 드릴 수 있습니다. 홍보 목적의 포스팅을 원하는 경우 협찬 포스팅이 가능하며 네이버 카페를 통해서도 홍보가 가능합니다. 협찬 포스팅 문의는 여기에서 연락주시기 바랍니다.

최근 취약점 사례: 우커머스 페이먼츠 공격 사태

가장 최근에 있었던 워드프레스 보안 취약점 사례는 우커머스 페이먼츠(WooCommerce Payments)라고 하는 플러그인으로부터 발생했습니다. 이 플러그인은 워드프레스 기반 웹사이트를 위한 전자 상거래 플러그인 입니다. 이 플러그인을 사용하면 평범한 웹사이트를 금방 인터넷 쇼핑몰과 같이 만들 수 있습니다. 그래서 워드프레스 사이트에서 60만회 이상 다운로드 될 정도로 유명하고 널리 쓰입니다.

그런데 이 플러그인에 심각한 보안 취약점이 발견되었습니다. 취약점 번호는 CVE-2023-28121이고, CVSS 취약점 등급에서 초고위험도 등급을 받았습니다. 해당 취약점은 비 인가 사용자가 관리자 권한을 취득할 수 있게 하는 이른바 ‘권한 상승’ 취약점입니다. 이를 악의적인 공격자가 악용하면 관리자 권한을 탈취하여, 전체 시스템 제어가 가능합니다. 워드프레스 보안팀에 따르면, 2023년 7월 14일부로 해커들이 이 취약점에 대해서 익스플로잇 하기 시작하였습니다. 그리고 2023년 7월 16일에는 157,000개의 사이트를 대상으로 130만건 정도의 공격이 실행되었습니다.

이렇게 해커들이 취약점을 발견하면 불과 며칠 사이에도 엄청난 횟수의 공격을 실행하여 웹사이트를 마비시켜버립니다. 이런 대 참사는 왜 일어나며, 또한 억울한 피해자가 되지 않으려면 어떻게 해야 하는 것일까요? 어떤 방법으로 우리의 소중한 웹사이트와 고객 정보를 지킬 수 있을까요?

왜 워드프레스 웹사이트가 공격을 당하나요?

혹자는 워드프레스 자체가 보안적으로 취약한 시스템이라고 합니다. 그 말이 사실일까요? 그 말 사실이라면 우리는 워드프레스 사용 자체를 중지해야 할 것입니다. 결론부터 말하자면, 이 세상의 모든 시스템은 결함이 있으며, 해킹은 워드프레스 만의 문제가 아니라는 것입니다. 워드프레스 보안은 다른 CMS 시스템에 비해서 안정적인 편입니다. 다만, 워드프레스로 제작된 웹사이트의 비중이 전 세계 웹사이트의 43%를 차지할 만큼 많기 때문에 문제가 잦은 것처럼 보일 수 있습니다. 워드프레스 시스템에서 해킹이 발생하는 대표적인 이유는 다음과 같습니다.

1. 워드프레스 플러그인, 테마 등에 존재하는 보안 취약점
   워드프레스에 설치하는 플러그인이나 테마에 보안 취약점이 있는 경우입니다. 다른 프로그램과 마찬가지로 워드프레스 플러그인에도 권한 상승, XSS(크로스 사이트 스크립팅) 등의 취약점이 있을 수 있습니다. 보안 취약점의 존재를 모르고 다운로드 받아 웹사이트에 설치하게 되면 사이트가 해킹 공격에 노출됩니다. 보통 이 문제는 개발자가 해당 보안 취약점을 수정하여 새로이 패치를 업데이트 하면서 해결이 됩니다.
   
   
2. 불법 공유사이트를 통한 다운로드
   돈을 아끼기 위해서 유료 테마, 플러그인 따위를 불법 공유사이트에서 다운받는 경우가 있습니다. 이런 경우에는 누가 플러그인을 유포하고 있는지 정확히 알 수 없습니다. 이는 당연히 불법적인 행위입니다. 또한 최신 업데이트 된 버전을 다운받기 어렵기 때문에 보안에 취약합니다. 최악의 경우 멀웨어가 포함되어 있어서 시스템 전체가 해커에 의해 장악될 수 있습니다.
   
   
3. 신뢰할 수 없는 호스팅 서비스 이용
   워드프레스로 웹사이트를 만들고 나서 할 일은 바로 서버에 올리는 것입니다. 본인 서버를 구입할 여건이 되지 않으면 호스팅 서비스를 이용해야 합니다. 이 때 저렴하다는 이유로 저 품질의 영세한 호스팅 업체를 선택하는 경우가 있습니다. 많은 수의 영세 호스팅 업체는 보안에 신경쓰지 않아 해킹에 취약합니다. 호스팅 서버가 랜섬웨어 등의 악성코드에 감염되는 경우가 지속적으로 나오고 있습니다. 해커 입장에서는 호스팅 서버를 한번 공격하면 수백, 수천의 웹사이트를 한번에 마비시킬 수 있으므로 아주 효율적이라고 할 수 있습니다.
   
   
4. 기본적인 보안 수칙 미준수
   이 외에도 기본적인 보안 수칙을 지키지 않아서 해킹을 당할 수 있습니다. 관리자 페이지의 비밀번호를 허술하게 관리하는 경우, 보안 연결 없이 FTP로 파일 전송 등이 이에 해당됩니다. 다 아는 내용이라고 하더라도 다시 한번 점검해야 스스로를 지킬 수 있습니다.

워드프레스 기반 웹사이트를 지키는 방법

상당수의 워드프레스 사용자는 웹사이트가 완성되고 나면 그것으로 모든 할 일이 끝났다고 생각합니다. 하지만 아닙니다! 워드프레스 웹사이트를 완성하고 난 이후에도 계속 유지보수를 해야만 해킹으로부터 안전합니다. 해커의 수법은 계속 발전하기 때문에 웹사이트 관리자도 보안에 신경을 써야만 합니다. 아래에 웹사이트를 지키기 위한 방법이 나와 있습니다.

1. VPN 사용
   워드프레스 관련 작업을 할 때 VPN을 이용하여 연결하는 것이 좋습니다. 예를 들면 관리자 페이지에 접속할 때, 보안 VPN 프로토콜 연결이 되어있으면 침입자가 당신을 감시할 수 없습니다. 온라인으로 주고받는 데이터를 안전하게 보호해 주므로 웹사이트 상에 있는 정보를 지킬 수 있습니다. 그러므로 VPN을 이용하면 좀 더 안심하고 웹사이트 운영을 할 수 있을 것입니다.
   
   
2. 설치된 플러그인, 테마 업데이트
   앞서 ‘우커머스 페이먼츠(WooCommerce Payments)’ 보안 취약점 사태에서 본 것처럼, 유명 플러그인도 충분히 헛점이 있을 수 있습니다. 그러므로 개발사 측에서는 지속적으로 보안 취약점 모니터링을 해서 보완한 뒤 플러그인을 업데이트 하고는 합니다. 그러면 해커가 더 이상 해당 취약점으로는 공격이 불가능합니다. 플러그인과 테마의 업데이트 사항이 있다면, 바로 바로 적용하는 습관을 들입시다.
   
   
3. 보안 플러그인 설치
   워드프레스에는 보안과 관련된 기능을 제공하는 여러 가지 플러그인이 있습니다. 2단계 인증(2 Factor Authentication), 무차별 대입 공격 방지, 멀웨어 스캔, 사용자 액티비티 로그 기록 등 다양한 기능이 제공됩니다. 적절한 보안 플러그인을 잘 찾아본 다음, 설치하는 것 또한 보안을 지키는 하나의 방법입니다. 다만 너무 기능이 많은 플러그인은 웹사이트 속도를 느려지게 할 수 있으니 그것 또한 고려해서 결정하시기 바랍니다.
   
   
4. 신뢰할 수 있는 호스팅 업체 선정
   위에서 언급하였듯이, 많은 수의 영세 호스팅 업체는 저렴하게 서비스를 제공하기만 하고 보안에는 신경을 쓰지 않습니다. 결국 해킹 피해는 고스란히 웹사이트 관리자 측에서 떠안게 됩니다. 따라서 신뢰할 수 있는 호스팅 업체를 선정하는 것이 중요합니다. 너무 저렴한 호스팅 서비스는 피하고, 잘 알려진 서비스를 이용하세요.
   
   
5. 워드프레스 사이트 백업
   또한 가능하다면 사이트 백업을 정기적으로 하여 혹시나 모를 해킹 피해에 대비하는 것이 좋습니다. 호스팅 업체에서 백업 기능을 제공하기도 하지만, 그것을 믿기 보다는 스스로 백업을 해두는 편이 더 좋습니다.

마무리

오늘 워드프레스 관련 보안 취약점과 그에 대한 대처방법에 대해 알아보았습니다. 이 세상 어디에도 취약점이 없는 시스템은 없듯이, 우리가 스스로 해킹에 대비하여 웹사이트를 지켜야 하겠습니다. 평상시에 보안 취약점을 모니터링하고 대비한다면 충분히 워드프레스 사이트 보안을 지킬 수 있을 것입니다.

참고

• 초보 블로거에게 클라우드웨이즈(Cloudways)가 괜찮은 선택일까?
• 중국발 크롤러/스크래퍼/봇 차단하기