처음에는 정상적인 앱...지금은 등록된 개발자까지 ‘이상한 이름’
추적하니 과거 비슷한 문제 일으켰던 용의자의 이름 등장

[보안뉴스 문가용 기자] 워드프레스의 플러그인이 또 다시 말썽을 일으켜 추방됐다. 이번에 퇴출된 플러그인은 캡챠(Captcha)로 30만번 이상 설치된 것으로 집계됐다. 최근 소유주가 바뀌었는데, 처음에는 베스트웹소프트(BestWebSoft)라는 곳에서 개발 및 유지하는 것으로 등록되어 있다가 문제가 발견됐을 때 즈음엔 이름 없는 개발자(wpdevmgr2678)의 소유인 것으로 나타났다.


문제는 12월 4일에 시작됐다. 캡챠 플러그인의 자동 업데이트가 시작되며 simplywordpress[.]net이란 도메인으로부터 Zip 파일 하나가 다운로드 됐다. 이 압축파일은 다운로드가 완료된 후 자동으로 압축 해제와 설치를 진행했다. 그리고 기존 캡챠 플러그인을 덮어썼다.

압축 파일에는 plugin-update.php라는 파일이 포함되어 있었는데, 분석 결과 백도어인 것으로 밝혀졌다. 플러그인 개발자에게 캡챠 플러그인이 설치된 웹사이트의 관리자급 권한 접속을 주는 기능을 가지고 있었다. 이 플러그인은 1) 워드프레스의 디폴트 관리자 ID로 세션을 만들고, 2) 인증 쿠키를 설정하고 3) 스스로를 삭제하는 순서로 작업을 진행한다는 사실도 분석됐다.

문제의 압축 파일을 호스팅하고 있는 도메인의 등록자는 스테이시 웰링턴(Stacy Wellington)이라는 인물로, 대량의 도메인 주소를 보유하고 있기도 하다. 그 중 하나는 unsecuredloans4u[.]co[.]uk로, 이 주소와 관련된 인물 중 이전 워드프레스 플러그인 백도어 개발자로 추정되는 메이슨 소이자(Mason Soiza)가 있다는 것도 발견됐다. 소이자는 이전에 다른 개발자의 플러그인 소유권을 구매하고, 그 플러그인에 백도어를 심어 재배포한 전과를 가지고 있다.

simplywordpress[.]net에서는 캡챠 외에도, 백도어가 심긴 다른 플러그인들을 호스팅하고 있기도 했다. Covert me Popup, Death To Comments, Human Captcha, Smart Recaptcha, Social Exchange 등이다. 또한 스테이스와 메이슨 둘 다 퀸트 그룹 리미티드(Quint Group Limited)라는 정체불명의 기업 혹은 단체와 연관이 있는 것으로도 나타났다.

따라서 캡챠 플러그인의 개발자라고 등록된 wpdevmgr2678가 스테이시 웰링턴 본인일 가능성이 높은 것으로 워드펜스는 의심하고 있다. 그렇지만 스테이시나 소이자라는 인물들이 이번에 발견된 캡챠 플러그인의 백도어를 직접 만든 것이라고 확언할 수는 없다고, 이 문제를 발견한 워드펜스(Wordfence)는 결론을 내렸다. 결정적인 증거가 부족하기 때문이다.

워드펜스와 워드프레스 플러그인 팀은 캡차의 문제점을 패치한 4.4.5 버전을 새롭게 내놓았다. 현재까지 이 패치로 업데이트한 사이트는 10만 개가 넘는 것으로 나타났다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>