뉴스 40. 20만 개 워드프레스 사이트 노린 인증 우회 취약점…관리자 계정 탈취 위험

기사 요약:

20만 개 이상의 웹사이트가 사용하는 워드프레스 플러그인 ‘버스트 스태티스(Burst Statistics)’에서 관리자 권한을 완전히 탈취할 수 있는 치명적인 인증 우회 취약점(CVE-2026-8181)이 발견됐다. 이 취약점은 메인WP 연동 과정에서 인증 실패 처리를 오인하여 발생했으며, 공격자가 관리자 아이디만 알면 비밀번호 없이도 관리자 권한을 가장할 수 있어 심각도가 9.8점(치명적)으로 평가됐다.

 

1. 개인정보 보호용 워드프레스 통계 분석 플러그인 ‘버스트 스태티스’(사용 중인 사이트 20만 개 이상)에서 관리자 권한 탈취가 가능한 치명적 결함이 드러났다.

 

2. 해당 취약점은 CVE-2026-8181로 등록되었으며 심각도는 CVSS 9.8점이다. 메인WP 연동 시 애플리케이션 비밀번호 검증 오류로 인해, 올바른 비밀번호 없이 관리자 이름만으로 REST API 요청을 통과할 수 있는 구조적 결함 때문이다.

 

3. 워드프레스 특성상 관리자 이름은 공개 정보로 노출되기 쉬우며, 공격자가 이를 악용해 계정을 탈취하면 악성코드 삽입, 새 관리자 생성, 방문자 피싱 리디렉션 등 심각한 피해를 유발할 수 있다.

 

4. 보안 기업 워드펜스가 5월 8일 취약점을 발견해 신고했고, 개발사는 5월 12일 패치 버전(3.4.2)을 신속히 배포했으나 패치 공개 직후 수천 건의 차단 사례가 보고될 만큼 공격이 집중되고 있다.

 

개인 의견:

심각도가 높은 취약점은 무조건 공격자들의 공격이 정교하거나 위험해서라고 생각했는데, 이번 기사를 읽어보니 시스템 자체의 버그나 오점이 큰 취약점을 만들 수도 있다는 것을 알게 되었다. 또한, 이미 알려진 관리자 계정명을 이용했다는 점에서 비밀번호 뿐만 아니라 아이디, 특히 관리자 아이디의 보안에도 신경을 써야한다는 것을 알 수 있었다. 대응을 하였음에도 불구하고 계속해서 공격시도가 일어나고 있다는 점에서 업데이트의 중요성을 다시금 느낄 수 있었다.\

 

<용어 정리>

• 버스트 스태티스 (Burst Statistics): 구글 애널리틱스의 대안으로 사용되는 워드프레스용 경량 웹사이트 통계 분석 플러그인이다. 개인정보 보호를 강조하는 사이트들이 주로 채택했다.
• 메인WP (MainWP): 복수의 워드프레스 웹사이트를 하나의 중앙 대시보드에서 원격으로 통합 제어하고 업데이트할 수 있도록 돕는 연동 도구이다.
• REST API: 웹 서버의 자원을 원격에서 제어하고 데이터를 주고받기 위해 사용하는 표준 소프트웨어 인터페이스이다. 워드프레스 내부 기능을 조작하는 핵심 통로로 쓰인다.
• 베이직 인증 헤더(HTTP Basic Authentication Header): 웹 브라우저가 웹 서버에 로그인 정보를 보낼 때 사용하는 가장 기본적인 HTTP 인증 방식의 통신 규칙이다. 웹사이트에 로그인할 때 사용하는 ID와 비밀번호를 특정한 형식으로 변환하여 HTTP 요청 메시지의 '머리말(Header)'에 담아 보내는 명세다.
• 리다이렉션: 사용자를 내가 원래 가려던 페이지가 아닌 다른 페이지로 강제로 이동시키는 기술이다.

뉴스 링크: https://www.dailysecu.com/news/articleView.html?idxno=206751&page=2&total=149174