워드프레스 플러그인 30개를 사들여 백도어를 심었다 — 인수가 무기가 되는 공급망 공격의 시대

소프트웨어 공급망 공격이라고 하면 대부분 코드 저장소에 몰래 악성 코드를 주입하는 장면을 떠올립니다. 그런데 최근 워드프레스 생태계에서 벌어진 일은 차원이 다릅니다. 공격자가 정상적인 인수 절차를 밟아 플러그인을 구매한 뒤, 기존 사용자 수백만 명에게 백도어가 포함된 업데이트를 배포한 겁니다. 해킹이 아니라 비즈니스처럼 보이는 공격, 왜 지금 이 이야기를 해야 하는지 살펴보겠습니다.

무슨 일이 있었나: 30개 넘는 플러그인이 한꺼번에 오염됐다

2025년 하반기부터 보안 커뮤니티에서 이상 징후가 포착되기 시작했습니다. 워드프레스 공식 플러그인 저장소에 등록된 여러 플러그인이 소유권 이전 직후 의심스러운 코드를 포함한 업데이트를 내놓은 겁니다. Wordfence를 비롯한 보안 업체들의 추적 결과, 30개 이상의 플러그인이 비슷한 패턴으로 인수된 뒤 백도어가 삽입된 것으로 확인됐습니다.

이 플러그인들의 공통점은 명확했습니다. 개인 개발자가 유지하던 중소 규모 플러그인이었고, 활성 설치 수는 수천에서 수만 사이. 공격자 입장에서는 인수 비용 대비 감염 범위를 극대화할 수 있는 최적의 타깃이었습니다.

공격의 메커니즘: 코드가 아니라 신뢰를 해킹한다

이 공격이 교묘한 이유는 기술적 취약점을 이용한 게 아니라는 점입니다. 절차를 정리하면 이렇습니다.

첫째, 공격자가 플러그인 개발자에게 인수 제안을 보냅니다. 개인 개발자가 사이드 프로젝트로 운영하던 플러그인이라면, 적당한 금액에 기꺼이 팔겠다는 응답이 돌아옵니다. 둘째, 워드프레스 공식 저장소의 소유권을 합법적으로 이전받습니다. 셋째, 기존 코드베이스에 난독화된 백도어를 삽입한 뒤 버전 업데이트로 배포합니다.

사용자 입장에서는 자동 업데이트로 설치됩니다. 알림 하나 없이, 의심할 여지 없이. 워드프레스의 플러그인 업데이트 시스템이 오히려 공격의 배포 채널이 된 셈입니다.

왜 워드프레스인가: 거대한 생태계의 구조적 약점

워드프레스는 전 세계 웹사이트의 약 43%를 구동하는 거대 플랫폼입니다. 공식 저장소에 등록된 플러그인만 6만 개가 넘습니다. 문제는 이 생태계의 상당 부분이 개인 개발자의 선의와 여가 시간에 의존하고 있다는 점입니다.

기업이 관리하는 플러그인이라면 인수 과정에서 보안 감사가 따라붙습니다. 하지만 개인 개발자가 운영하는 플러그인은 다릅니다. 소유권 이전 시 코드 리뷰를 강제하는 절차가 없고, 워드프레스 저장소 자체도 소유권 변경 후 코드 변경을 자동으로 감사하는 체계를 갖추고 있지 않았습니다.

npm이나 PyPI 같은 다른 패키지 생태계에서도 비슷한 공격이 보고된 적 있지만, 워드프레스의 경우 최종 사용자가 비개발자인 경우가 대부분이라는 점이 피해 규모를 키웁니다. 코드를 읽고 이상 여부를 판단할 수 있는 사용자가 극소수라는 뜻입니다.

보안 커뮤니티의 대응과 현재 상황

Wordfence 팀은 감염된 플러그인 목록을 공개하고 긴급 방화벽 규칙을 배포했습니다. 워드프레스 공식 팀도 해당 플러그인들을 저장소에서 제거하는 조치를 취했습니다. 보안 연구자 Kathy Zant는 2026년 4월 초 이 사태를 정리하며, 단순 취약점이 아닌 공급망 신뢰 모델 자체의 붕괴라고 경고했습니다.

현재 논의되고 있는 대응책은 크게 세 가지입니다.

하나, 플러그인 소유권 이전 시 워드프레스 측의 의무 코드 리뷰 도입. 둘, 플러그인 업데이트에 대한 서명 검증 체계 강화. 셋, 소유권 변경 이력을 사용자에게 명시적으로 고지하는 UI 개선.

다만 6만 개가 넘는 플러그인 생태계에서 이를 실질적으로 운영할 수 있을지는 또 다른 문제입니다.

우리가 배워야 할 것: 오픈소스 신뢰 모델의 한계

이번 사태가 보여주는 핵심은 명확합니다. 우리가 소프트웨어를 신뢰하는 기준이 “누가 만들었는가”에 묶여 있다는 점입니다. 플러그인 A를 믿고 쓰는 이유는 개발자 B가 수년간 성실하게 관리해왔기 때문인데, 그 B가 떠나고 C가 자리를 대신하는 순간 신뢰의 근거가 사라집니다.

이건 워드프레스만의 문제가 아닙니다. npm, PyPI, Chrome 확장 프로그램, VS Code 익스텐션까지 — 개인이 유지하는 소프트웨어 자산이 인수를 통해 무기화될 수 있는 구조는 어디에나 존재합니다. 2024년의 XZ Utils 백도어 사건이 “기여자 침투"를 통한 공격이었다면, 이번 건은 “소유권 인수”를 통한 공격입니다. 더 깔끔하고, 더 합법적이며, 더 탐지하기 어렵습니다.

결국 이 사건은 기술적 보안만으로는 막을 수 없는 새로운 위협의 등장을 알립니다. 코드를 감사하는 것만큼, 소유권의 연속성을 감시하는 체계가 필요해졌습니다. 여러분이 운영하는 사이트에 설치된 플러그인 중, 최근 소유자가 바뀐 것은 없는지 — 지금 한 번 확인해보시는 건 어떨까요.