Technology/로그관리 및 분석(SIEM)

관리자 권한까지 탈취하는 워드프레스 모터스 테마 취약점 악용 공격

인스피언 2025. 7. 1. 16:18

안녕하세요. No.1 IT 솔루션 전문 기업 인스피언㈜입니다. 최근 워드프레스(WordPress) 용 테마인 ‘모터스(Motors)’에서 보안 취약점(CVE-2025-4322)이 발견되면서, 이를 악용한 공격이 빠르게 확산되고 있습니다. 취약점은 별도의 인증 없이도 공격자가 관리자 계정의 비밀번호를 임의로 변경할 수 있는 심각한 문제를 포함하고 있습니다. 단순한 정보 유출이나 권한 조회 수준을 넘어서, 웹사이트 전체를 통제할 수 있는 수준의 권한 상승이 발생할 수 있기 때문에, 즉각적인 대응이 필요합니다.

2만 개 이상 판매된 글로벌 테마 취약점 발견

전 세계 자동차 관련 사이트에서 널리 사용되는 인기 테마인 모터스는 자동차 ㅁ딜러, 렌터카, 자동차 부품 판매 등 차량 관련 비즈니스 웹사이트에 특화된 워드프레스 테마입니다. 대표적인 워드프레스 테마 마켓플레이스에서만 약 22,000건 이상 판매된 것으로 집계되고 있어 국내외를 막론하고 이 테마를 사용하는 워드프레스 사이트라면 이미 공격 대상이 되었거나, 조치하지 않을 경우 곧 피해를 입을 수 있습니다.

CVE-2025-4322 취약점은 지난 5월 2일에 처음 제보되었습니다. 이후 테마 제작사에서는 취약점을 해결한 버전(5.6.68)을 공식 배포하였습니다. 하지만 문제는 많은 사용자들이 최신 버전을 즉시 적용하지 않았다는 점입니다. 워드펜스가 해당 취약점을 공식 블로그를 통해 알린 다음 날인 5월 20일부터 실제 해킹 공격이 본격적으로 시작되었으며, 6월 초에는 단 하루 동안 23,000건 이상의 공격 시도가 포착되었다고 보고되고 있습니다.

공격자는 어떻게 관리자 권한을 탈취했을까?

CVE-2025-4322 취약점은 모터스 테마에 포함된 ‘로그인/회원가입(Login/Register)’ 위젯의 비밀번호 복구 기능에서 비롯된 것으로 분석됩니다. 공격자는 먼저 사이트에 설치된 위젯의 위치를 찾기 위해 /login-register, /account, /reset-password와 같은 경로에 POST 요청을 반복적으로 전송합니다.

이후 공격자는 POST 요청 본문에 hash_check라는 특정 파라미터를 삽입하는데, 여기에 %C0, %80 같은 잘못된 UTF-8 문자를 포함시켜 비밀번호 검증 로직을 우회하는 데 성공합니다. 이를 통해 공격자는 실제 인증을 거치지 않고도 관리자 계정의 비밀번호를 새롭게 설정할 수 있게 됩니다. 비밀번호가 재설정된 이후, 공격자는 워드프레스 관리자 대시보드에 로그인한 뒤 새로운 관리자 계정을 생성함으로써 웹사이트에 대한 영구적인 통제권을 확보하게 됩니다.

공격이 발생한 사이트인지 점검하세요!

공격이 발생한 사이트에서는 기존 관리자 계정이 갑자기 로그인이 되지 않거나, 알 수 없는 신규 관리자 계정이 생성되어 있거나, 서버 로그에 %C0, %80 등의 특수 문자 인코딩 요청이 기록되어 있는지 등을 살펴보아야 합니다. 이러한 현상이 발견되었다면 이미 침해가 진행되었을 가능성이 매우 높아, 즉시 긴급 조치를 취해야 합니다.

해당 취약점에 노출된 사용자를 위해 보안 업계는 다음과 같은 조치를 권고하고 있습니다.

1. 모터스 테마를 사용하는 모든 사이트는 반드시 5.6.68 버전 이상으로 업데이트해야 합니다.

2. 웹사이트의 관리자 로그인을 분석하여 비정상적인 계정 생성, 로그인 시도 등의 징후를 확인해야 합니다.

3. 관리자 및 일반 사용자 계정의 비밀번호를 전면 재설정하고, 가능하다면 2단계 인증(2FA)을 도입해야 합니다.

4. 워드펜스가 공개한 공격자 IP 목록을 기반으로 방화벽을 설정하고, 웹 애플리케이션 방화벽(WAF) 보안 정책을 강화해야 합니다.

인스피언 BizInsider SIEM의 특장점

인스피언의 통합 보안관리 솔루션 BizInsider SIEM은 보안 콘텐츠 제공(CTI)를 통해 다양한 최신 보안 위협 지표를 반영한 콘텐츠 업데이트를 제공하며, KISA C-TAS 위협 IP와 고객사 TI정보 연동으로 보안 위협을 탐지하는 기능을 제공합니다.

보안 위협 모니터링 대시보드를 통해 탐지 현황과 위험도 요약 정보를 실시간으로 확인할 수 있으며, 탐지된 보안 이벤트의 타임라인 분석, 자산 영향도 분석, 위협 추적 기능을 제공합니다.

보안위협탐지룰 설정 시 Blockly 방식을 도입하여 사용자가 시나리오 분석 룰을 간단하게 설정할 수 있습니다. 소명 기능을 통해 정탐/오탐/과탐의 명확한 판단 기준을 설정할 수 있으며 단순 반복 작업을 최소화할 수 있습니다.

인시던트 분석 화면을 통해 탐지된 인시던트의 상세 정보를 제공하며, 분석 쿼리 모니터링 화면에서는 설정된 쿼리에 따라 발생하는 인시던트를 추적하고 상세 내용을 확인할 수 있는 기능을 제공합니다. 상관분석 룰 시뮬레이션(테스트) 기능을 통해 운영망 반영 전 상관분석 룰의 정탐, 오탐, 정상 설정 여부를 검증할 수 있어 안정적이고 효율적인 룰 관리를 지원합니다.

인스피언㈜ 솔루션 제품은 조달청 온라인 몰에서 구매할 수 있으며, 솔루션에 대해 더욱 자세한 설명이 필요하시다면 아래 홈페이지에서 문의해 주세요!

저작자표시 비영리 변경금지 (새창열림)