웹사이트를 쉽게 구축할 수 있게 돕는 툴인 워드프레스로 제작한 웹사이트를 노린 해킹시도가 최근 며칠새 급증해 비상이다.
18일(현지시간) 미국 지디넷 등 외신에 따르면 보안회사 수쿠리랩스는 블로그를 통해 약 15일 전에 확인했던 워드프레스에서 발견된 취약점을 악용한 악성코드에 감염된 사이트수가 최근 들어 폭증했다고 밝혔다.(관련링크)
다니엘 시드 수쿠리랩스 최고기술책임자(CTO)에 따르면 이전까지 1천개 수준에 그쳤던 웹사이트 감염률이 지난 15일~17일 사이에 6천개로 6배가 늘었다.
이들 사이트를 공격한 악성코드는 'visitorTracker_isMob'이라는 이름으로 불린다. 이 악성코드에 감염된 사이트에 접속을 시도하면 사용자는 악성 페이지로 강제접속하게 되며 다시 '뉴클리어 익스플로잇 키트(Nuclear Exploit Kit)'에 노출된다. 익스플로잇 키트는 사용자 PC, 노트북 등에 설치된 운영체제(OS), 애플리케이션 등에서 발견된 취약점을 악용한 공격수법을 말한다. 뉴클리어 익스플로잇 키트는 공격자들이 자주 쓰는 악명높은 취약점공격용 툴이다.
일단 사용자가 악성 페이지에 강제접속하면 이 익스플로잇 키트는 접속한 사용자의 PC, 노트북에 설치된 소프트웨어 중 최신 보안 업데이트가 이뤄지지 않은 구형 버전을 공략한다. 이를 통해 해당 시스템을 감시하고, 데이터를 훔쳐내는 작업을 수행한다.
사이트 자체를 감염시킨 악성코드인 비지터트랙커(visitorTracker)는 악성 자바스크립트를 해당 사이트에 삽입하는 방법으로 접속한 사용자들을 뉴클리어 익스플로잇 키트에 노출시키도록 유도한다. 여기에는 워드프레스에서 발견된 플러그인 관련 취약점이 악용된 것으로 분석됐다.
관련기사
- CMS툴 워드프레스-웹사이트베이커서 취약점 급증2015.09.19
- 워드프레스도 해킹위험 높아져2015.09.19
- 워드프레스 플러그인 취약점 주의2015.09.19
- 최태원 회장 "SK 성장은 6공 후광 사실 아니다…상고할 것"2024.06.17
현재 악성코드에 감염된 것으로 확인된 사이트 6천여개 중 구글이 크롬브라우저를 통해 블랙리스트에 올린 것은 약 17%에 해당한다. 수쿠리랩스는 사이트 관리자들이 워드프레스 플러그인을 최신 버전으로 써서 크롬의 블랙리스트에 자신들의 사이트가 오르지 않도록 주의할 필요가 있다고 당부했다.
이와 함께 수쿠리랩스는 웹사이트 관리자가 해당 악성코드에 사이트가 감염됐는지 여부를 확인해 볼 수 있는 스캐너를 제공하는 중이다.(관련링크)
