User Registration & Membership 보안 결함 확산…지금 업데이트와 점검이 필요한 이유

안녕하세요. 디지털에이전시 이앤아이입니다.

워드프레스 사이트를 운영하다 보면 회원가입, 멤버십, 접근 권한 설정을 플러그인에 맡기는 경우가 많습니다. 그런데 최근 널리 쓰이는 ‘User Registration & Membership’ 플러그인에서 로그인 없이도 관리자 권한을 탈취할 수 있는 치명적인 취약점이 확인되면서 보안 경보가 켜졌습니다. 보안 기업 분석에 따르면 위험도 지수(CVSS)가 9.8점에 달할 정도로 심각하고, 무엇보다 공격 난도가 낮아 자동화 공격으로 번질 가능성이 크다는 점이 더 불안한 대목입니다.

이번 이슈의 핵심은 “서버가 믿으면 안 되는 값을 믿어버렸다”는 데 있습니다. 일부 검증 로직과 권한 확인 절차가 허술해, 공격자가 요청 파라미터를 조작하면 권한 할당에 영향을 줄 수 있는 구조였다는 거죠. 특히 자바스크립트 코드에 노출될 수 있는 임시 보안 토큰(논스, nonce) 값을 악용해 악성 요청을 만들고, 이를 워드프레스의 AJAX 엔드포인트로 보내는 방식이 주요 시나리오로 거론됩니다. 정상이라면 요청 출처와 사용자 권한을 여러 단계로 확인해야 하지만, 그 과정이 느슨하면 인증이 통과된 것처럼 처리되며 권한이 관리자급으로 올라갈 수 있습니다.

관리자 권한을 뺏기면 피해는 단순 ‘로그인 문제’에서 끝나지 않습니다. 공격자는 악성 플러그인을 설치하거나 테마 파일을 수정해 임의 코드를 실행할 수 있고, 숨겨진 관리자 계정을 만들어 장기간 잠복할 수도 있습니다. 방문자를 피싱 페이지로 보내거나 악성코드 유포지로 리다이렉트시키는 변조도 흔한 2차 피해입니다. 해외 보안 커뮤니티와 포럼에서 자동화 공격 기법이 공유되고 있다는 정황까지 나오면서, “언젠가 하자”가 아니라 “지금 해야 하는” 대응으로 넘어왔습니다.

조치는 명확합니다. 해당 플러그인을 사용 중이라면 5.1.2 이하 버전은 즉시 5.1.3 이상으로 업데이트해야 합니다. 업데이트 후에는 관리자 계정 목록을 전수 점검해 승인하지 않은 계정이 생겼는지 확인하고, 의심 세션을 종료한 뒤 관리자 비밀번호와 인증 정보(가능하면 2단계 인증 포함)를 재설정하는 편이 안전합니다. 추가로 최근 변경된 테마/플러그인, 알 수 없는 파일 업로드, 갑작스러운 리다이렉트 설정 등 “변조 흔적”도 함께 확인해 주세요.

메타 설명: 워드프레스 ‘User Registration & Membership’ 플러그인에서 로그인 없이 관리자 권한 탈취가 가능한 치명적 취약점이 발견됐다. 5.1.3 이상 업데이트와 관리자 계정 점검, 자격 증명 재설정 등 즉각적인 대응 방법을 정리한다.

이앤아이와 함께 더 나은 웹 환경을 만들어 나가요!

#워드프레스 #워드프레스보안 #플러그인취약점 #관리자권한탈취 #UserRegistrationMembership #CVSS #웹사이트보안 #사이트변조 #데이터유출 #보안업데이트 #이앤아이 #디지털에이전시 #대학교홈페이지 #병원홈페이지 #AI전문기업