30개의 워드프레스 플러그인을 사들여 8개월간 숨겨둔 백도어의 정체

TL;DR 합법적인 워드프레스 플러그인 30여 개가 인수된 후 악성 코드가 심어졌고, 8개월의 휴면기 끝에 수많은 사이트의 설정 파일을 감염시켰다. 이 공격은 이더리움 스마트 컨트랙트를 활용해 추적을 피하는 등 공급망 공격이 얼마나 정교해지고 있는지 보여준다.

신뢰하던 도구가 하루아침에 무기로 돌변했다. 2026년 4월 7일, 워드프레스 공식 저장소에서 30개가 넘는 플러그인이 단 하루 만에 영구 폐쇄됐다. 누군가 수십만 명이 사용하는 합법적인 플러그인 포트폴리오를 통째로 사들인 뒤, 8개월 동안 아무도 모르게 백도어를 심어둔 결과다.

핵심 내용

인도 기반의 개발팀이 8년간 운영하던 ‘Essential Plugin’ 포트폴리오가 Flippa를 통해 익명의 구매자에게 6자리 금액에 매각됐다. 새 소유자는 2025년 8월, 버전 2.6.7 업데이트를 배포하며 워드프레스 호환성 검사로 위장한 191줄의 PHP 역직렬화(deserialization) 백도어를 몰래 끼워 넣었다. 이 코드는 무려 8개월간 휴면 상태를 유지하다가 2026년 4월 6일 일제히 활성화됐다. 감염된 플러그인은 wp-config.php 파일에 직접 악성 PHP 블록을 주입해 구글봇에게만 보이는 SEO 스팸을 뿌렸다. 특히 명령 제어(C2) 서버의 도메인을 이더리움 스마트 컨트랙트를 통해 해석하도록 설계해, 전통적인 도메인 테이크다운 방식을 완전히 무력화했다.

기술적 인사이트

이 사건은 단순한 취약점 공격과 공급망 공격의 궤가 어떻게 다른지 명확히 보여준다. 2023년 발견된 Linux.BackDoor.WordPressExploit이 오래된 플러그인의 알려진 취약점을 찌르는 방식이었다면, 이번 공격은 합법적인 커밋 권한을 돈으로 사들여 신뢰의 사각지대를 파고들었다. 기술적으로 가장 뼈아픈 부분은 워드프레스 팀의 사후 대응 한계다. 공식 저장소에서 플러그인을 강제 업데이트(v2.6.9.1)하여 외부 통신 함수는 차단했지만, 이미 wp-config.php에 주입된 6KB가량의 악성 페이로드는 건드리지 못했다. 코어 설정 파일이 오염된 상태에서는 플러그인을 비활성화하거나 업데이트하는 것만으로는 시스템을 완전히 정화할 수 없다는 구조적 딜레마를 남겼다.

시사점

오픈소스 생태계의 신뢰 모델이 근본적인 시험대에 올랐다. 플러그인 소유권이 이전될 때 이를 검증하거나 사용자에게 알리는 시스템이 전무하다는 점이 가장 큰 취약점으로 드러났다. 실제로 Anchor Hosting의 감사 결과, 관리 중인 22개 고객 사이트에서 해당 플러그인들이 발견되어 수동으로 백도어 모듈을 제거한 패치 버전을 배포해야만 했다. 개발자와 사이트 관리자들은 이제 단순히 플러그인을 최신 상태로 유지하는 것을 넘어, 소유권 변경 이력과 wp-config.php 같은 코어 파일의 무결성까지 직접 모니터링해야 하는 부담을 안게 됐다.

돈으로 신뢰를 사고, 블록체인으로 추적을 피하는 시대. 코드를 리뷰하는 것만으로 우리가 사용하는 도구의 안전을 온전히 담보할 수 있을까?

참고문헌

April 14, 2026 ∙ wordpress supply-chain-attack cybersecurity php malware

프리랜서로 제품 기획과 개발을 맡길 파트너가 필요하신가요? 개인, 팀, 기업 누구나 의뢰할 수 있으며 문제 정의부터 출시까지 함께합니다.

함께 일하기 연락하기 →