Offcanvas

개발자 / 검색|인터넷 / 애플리케이션

'만만한 타깃' 워드프레스 보안 강화 툴·방법 총정리

2019.01.09 David Strom  |  CSO
워드프레스 블로그를 운영하고 있다면 그 보안에 대해 한 번쯤 진지하게 고민해 볼 필요가 있다. 워드프레스는 여러 가지 이유로 해커의 먹음직스러운 타깃이 되기 때문이다. 



여기 워드프레스 웹사이트를 안전하게 지키는 데 도움이 될 조언을 모았다. 대부분은 비용 없이 시간만 투자해서 할 수 있다. 그러나 워드프레스 보안에 대한 이러한 우려는 결코 기우가 아니다. 실제로 크리스마스 디도스 공격을 포함해 여러 차례 공격의 대상이 됐다. 

워드프레스가 만만한 타깃인 이유
워드프레스를 노리며 끊임없이 진화하는 공격 패턴을 일일이 파악해 대처하기란 쉽지 않다. 2018년에는 XML-RPC 인터페이스를 사용하는 감염된 워드프레스 서버 봇넷을 이용해 무작위 대입 공격이 발생하기도 했다. 이처럼 워드프레스가 만만한 타깃이 되는 이유는 무엇일까?

우선 워드프레스는 PHP 스크립트를 구동한다. PHP 스크립트 자체도 문제가 없지 않기 때문에 IT 관리자는 최신 PHP 버전을 유지하며 문제를 싹부터 잘라내야 한다. 워드프레스에서도 PHP 버전을 확인하고 안전하게 업그레이드하는 방법을 안내하는 가이드를 제공한다. 

둘째, 워드프레스는 다양한 플러그인을 사용한다. PHP 엔진 외에도 워드프레스 웹사이트 대부분이 다양한 플러그인 툴을 사용하거나 웹사이트 디자인을 가꾸고 기능을 더하기 위한 테마를 사용한다. 이러한 플러그인이 감염되지는 않았는지, 악성코드의 감염 경로가 아닌지 반드시 확인해야 하지만 쉽지 않은 작업이다. 최근에도 플러그인의 취약점을 악용한 공격이 있었다. 폼 라이트박스(Form Lightbox), 어포인먼트(Appointments), 레지스트레이션매직(RegistrationMagic-Custom Registration Forms), 우커머스(WooCommerce), WP 노 익스터널 링크(WP No External Links), 플리커 갤러리(Flickr Gallery) 등이 대표적이다.

가장 극단적인 사례가 GDPR 준수를 지원하는 '의도만은 선한' 플러그인이다. 그러나 이 플러그인에는 권한 확장 버그 2개 포함돼 있었다. 전체 워드프레스 사이트에 대해 관리자 액세스를 부여하는 버그였다. 이 문제는 결국 플러그인 v.1.4.3에 가서야 수정됐다. 이 사건은 중요한 함의를 갖는다. 모든 플러그인이나 테마 개발자가 코드 보안에 신경을 쓰는 것은 아니라는 점이다. 즉 이러한 애드-온이 공격에 악용될 경로를 크게 늘릴 수도 있다는 것이다.

이밖에도 소프트웨어를 최신 버전으로 유지하지 않는 워드프레스 사이트가 많다. 심지어 주요 업데이트를 몇 개씩 건너뛰는 경우도 있다. 덕분에 해커는 손쉽게 가장 취약한 사이트를 찾아 공격할 수 있다. 워드프레스 소프트웨어는 업데이트가 꽤 자주 이루어지므로 매번 설치하기가 쉽지 않다. 필자도 업데이트가 필요할 때 ISP가 알림을 보내 주는데 처음에는 이런 알림이 귀찮게 느껴졌다. 하지만 이제는 업데이트가 꼭 필요하다는 사실을 알게 됐다. 

플러그인을 많이 사용하는 웹사이트 업데이트는 특히 더 보안에 신경 써야 한다. 플러그인이나 테마가 다양할수록 새로운 소프트웨어 설치 과정에서 문제가 생길 수 있기 때문이다(예컨대 가장 최근의 주요 업데이트였던 v5 업데이트에서도 이것이 문제가 됐다). 따라서 업데이트와 웹사이트 사이의 밸런스를 잘 맞추는 것이 중요하다. 그뿐만 아니라 웹사이트에서 사용하는 애드-온 소프트웨어도 잊지 말고 모두 업데이트해야 한다. 

더불어, 워드프레스 사이트 관리자 중 IT 운영이나 보안에 대해 잘 모르는 비전문가가 많다. 이는 안전하지 못한 워드프레스 웹사이트라도 만들기 쉽다는 사실과 무관하지 않다. 2018년 가을에 워드프레스 피싱 사례가 좋은 교훈을 준다. 피싱 메시지에는 “워드프레스 데이터베이스 업그레이드가 필요하다”는 내용이 포함됐고 많은 이가 여기에 속았다. 그리고 2018년 여름 데프콘 컨퍼런스에서는 해커가 완전히 새로운 워드프레스 사이트를 온라인 접속 30분 만에 찾아내기도 했다. WP셋업(WPsetup)이라 불리는 이 공격은 SSL 인증 관련 오류를 활용한 것이었다.
 
---------------------------------------------------------------
오픈소스 인기기사
->칼럼 | 오픈소스는 당신이 생각하는 그런 커뮤니티가 아니다
->핵심 오픈소스 SW 재단 8곳, 그리고 그들이 중요한 이유
->'이런 사람 꼭 있다' 오픈소스 프로젝트에서 만날법한 11가지 유형
->구글 고(Go)의 위력을 입증하는 오픈소스 프로젝트 10가지
->미약한 취미에서 창대한 협업 프로젝트로 '리눅스의 어제와 오늘'
->오픈소스의 두 얼굴··· 탁월한 가치, 만만치 않은 맹점
->무료 오픈소스 SW만으로 기업을 운영하는 방법
->'탐욕도 동력!'··· 돈 벌어주는 오픈소스의 비밀
->오픈소스 소프트웨어를 사용하지 않는 7가지 이유
---------------------------------------------------------------

워드프레스 보안 소프트웨어 업체 선택하기
이런 보안 문제에 대한 또 다른 대안은 워드프레스 웹사이트 보안을 전문으로 하는 업체를 이용하는 것이다. 웹사이트를 안전하게 지키기 위해 꼭 이런 툴이 있어야만 하는 것은 아니지만, 한두 개 정도는 사용하기를 강력하게 권한다.

- 워드펜스(Wordfence): 필자가 사용하는 보안 소프트웨어다. 무료와 유료 버전(연 100달러)이 있고 200만 개 이상의 웹사이트에서 사용하는 가장 유명한 보안 툴이다. 중소기업엔 무료 버전만으로 충분하며, 필자 역시 무료 버전을 쓰고 있다. 무료 버전에는 로그인 보안, IP 차단, 그리고 악성코드 스캐닝 등을 포함하는 자체 워드프레스 방화벽이 포함된다. 유료 버전은 실시간 IP 블랙리스트 업데이트, 악성코드 시그니처 기능, 방화벽 규칙, 이중 인증(2FA), 국가 차단 등의 기능을 추가로 지원한다.

- 아이팀즈 시큐리티(iThemes Security): 역시 100만 개 가까운 웹사이트에서 사용하는 보안 솔루션이다. 옛 이름은 베러 WP 시큐리티(Better WP Security)였다. 이중 인증과 워드프레스 v5를 지원한다. 아이팀즈 시큐리티 역시 무료와 유료 버전이 있는데(유료 버전의 경우 사이트 당 연 50달러부터 시작), 유료 버전은 비밀번호 생성 기능과 정책 설정, 온라인 파일 비교, 사용자 활동 로그, 그리고 악성코드 스캔 예약 기능 등을 추가로 지원한다.

- 아스널21(Arsenal21)의 ‘올-인-원 WP 시큐리티(All-in-One WP Security)’: 약 70만 개 웹사이트에서 사용 중이며 역시 v5를 지원한다. ‘올-인-원’의 한 가지 특징은 관리자 계정 이름을 자동으로 변경해 준다는 것이다. 또한 무료에 오픈소스 솔루션이기도 하다. 주요 기능으로는 취약점 스캔, 워드프레스 보안 규정 적용, 워드프레스 웹사이트를 위한 보안 성적표 제공 등이 있다.

- 스쿠리 스캐너(Sucuri’s Scanner): 역시 무료와 유료 버전이 있다. 주요 기능은 악성코드 스캔, 블랙리스트 모니터링, (유료 버전만) 자체 워드프레스 방화벽을 제공한다. 현재 40만 개가량의 웹사이트에서 스쿠리를 사용하고 있다. 유료 버전은 사이트 별로 연 200달러부터 시작한다.

피해야 할 소프트웨어도 있다. 코모도(Comodo)의 워드프레스 웹사이트 무료 스캐닝 서비스가 대표적이다. 이 소프트웨어는 사용자 이메일 주소를 알아내 컨설팅 서비스를 권유하는 미끼 상품이다. 

지금까지 살펴본 보안 소프트웨어 중에 하나를 선택하기 전에 고민해야 할 것도 있다. 다음과 같은 것들이다.

- 어떤 리포트를 생성하는가? 주요 워드프레스 애드-온 보안 툴 대부분은 정기적으로 워드프레스 보안 상태에 관한 리포트를 생성해 이메일로 보내 준다. 단일 IP 소스로부터 공격이 증가하거나, 기타 문제의 여지가 있는 사안이 있을 때도 리포트를 생성한다. 하나의 툴을 선택하기 전에 해당 툴이 어떤 리포트를 생성하는지, 그리고 그 내용이 무엇인지 확실히 이해하고 있어야 한다.

- 툴 설정과 관리는 어떻게 해야 하나? 보안 툴 대부분은 메인 워드프레스 대시보드 페이지에 별도의 엔트리가 존재해 여기서 보안 툴을 관리, 통제하고 웹사이트 보안 상황에 대한 요약을 확인할 수 있다(워드펜스의 대시보드 기능이 대표적이다). 

워드펜스의 대시보드

- 워드프레스 v5를 지원하는가? 워드프레스 디렉터리에 있는 여러 플러그-인을 살펴본 결과 여전히 상당수 보안 툴이 v5 버전을 지원하지 않는다.

안전한 워드프레스 사용을 위한 보안 관행
워드프레스 보안을 위해 ‘해야 할 일’을 이야기하기에 앞서, 우선 ‘하지 말아야 할 것’부터 살펴보자. 무엇보다 워드프레스 관리자가 관리자 인증 정보를 설정하는 방법에 관한 것이다. 가장 기본적이고 효과적인 것은 계정 이름을 ‘admin(관리자)’에서 다른 것으로 변경하는 것이다. 아무 의미 없는 글자의 나열이어도 상관없다. 워드프레스를 타깃으로 한 무작위 대입 공격의 상당수가 admin 계정 이름에 패스워드를 추측하는 방식으로 이뤄진다.

이밖에도 로그인 시도 횟수 제한, 특정 디렉터리를 열람 전용으로 설정하기, 디렉터리 브라우징 비활성화하기 등도 좋은 방법이다. 워드프레스에 액세스할 수 있는 IP 주소를 나의 IP 주소로 제한하는 방법도 있다. 처음에 서버를 설정할 때 .htaccess 파일에서 정할 수 있다. 2FA를 통해 로그인을 강화하는 것도 좋다. 여러 플러그-인 업체가 이 기능을 제공한다. 디펜더(Defender) 무료 버전이나, 아이팀즈 유료 버전이 대표적이다. 필자는 미니오렌지(miniOrange)를 사용하는데, 폭넓은 인증 앱과 방법을 지원한다. 사이트 규모가 작다면 무료 버전만으로 충분하다. 이밖에도 다음 사항도 실천해보자.

- 플러그인 개수 줄이기. 처음 워드프레스 서버를 설정할 때 필자는 잔뜩 욕심을 내서 엄청나게 많은 플러그인을 설치했다. 열 두어 개 이상이었던 것 같다. 하지만 이제는 잘못된 행동이었음을 안다. 플러그인 개수는 최소한으로 유지하는 것이 서버를 안전하게 지키는 방법이다. 여러 가지 기능을 하는 다양한 플러그인을 잔뜩 설치하고 싶은 마음은 이해하지만, 이로 인해 보안 문제가 발생할 수 있음을 기억하자. 또한 웹사이트 테마를 선택할 때는 해당 테마나 플러그인을 반드시 신뢰할 수 있는 소스에서 다운로드하는 것도 중요하다.

- 워드프레스 보안 정보를 틈틈이 확인하라. 플러그인 벌러너빌리티(Plugin Vulnerabilities)워드펜스(Wordfence) 블로그는 워드프레스 보안을 다루는 대표적인 사이트다. 두 곳 모두 제로 데이 공격 또는 취약성 공격에 대한 정보를 주기적으로 포스팅한다.

마지막으로 한 가지 더. 이 모든 보안 관행을 실천하는 것이 너무 부담스럽거나, 여러 개의 블로그 사이트를 함께 운영해야 하는 상황이라면, WP비기너(WPBeginner)와 같은 관리형 워드프레스 웹호스팅 업체를 이용할 것을 권장한다. 보안 현황을 스스로 확인할 수 있는 퀴즈 형태의 진단 방법도 제공한다. 아이팀즈의 경우 사이트 당 월 15달러를 내면 자체 보안 툴을 사용해 웹호스팅 서비스를 제공한다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.