의심스러운 플러그인 확인법으로 백도어 설치를 사전에 막습니다

의심스러운 워드프레스 플러그인 확인이 얼마나 중요한지를 뼈저리게 느낀 것은 한 직원이 유료 플러그인을 “공짜”로 받을 수 있다는 사이트에서 다운로드한 플러그인을 설치했을 때였습니다. Wordfence 스캔에서 해당 플러그인 파일에 난독화된 코드가 발견됐습니다. 외부 서버로 서버 정보를 전송하는 코드였습니다. 이른바 Nulled Plugin 문제로, 유료 플러그인을 불법 복제해서 배포하면서 백도어를 심어 놓는 방식입니다.

의심스러운 플러그인 징후

다음 중 하나라도 해당되면 즉시 점검이 필요합니다.

• 비공식 사이트나 토렌트에서 다운로드한 플러그인
• 워드프레스 공식 저장소에 없는 플러그인
• 마지막 업데이트가 2년 이상 된 플러그인
• 이용자가 100명 미만인 무명 플러그인
• 설치 후 사이트가 느려지거나 이상한 외부 연결이 생긴 경우

플러그인 코드 기본 점검

# 플러그인 폴더에서 난독화 코드 검색
grep -r "eval(base64_decode" /var/www/html/wp-content/plugins/
grep -r "gzinflate" /var/www/html/wp-content/plugins/
grep -r "str_rot13" /var/www/html/wp-content/plugins/

이런 함수들이 나온다면 난독화된 코드로, 악성 가능성이 높습니다.

# 최근 변경된 플러그인 파일 확인
find /var/www/html/wp-content/plugins/ -mtime -7 -name "*.php"

업데이트한 적 없는데 최근에 변경된 PHP 파일이 있다면 주의해야 합니다.

Wordfence로 플러그인 스캔

Wordfence 스캔 후 “Plugin Files Modified” 또는 “Known Malware” 항목에서 의심스러운 플러그인을 확인합니다.

또는 플러그인 파일의 체크섬 검증:

wp plugin verify-checksums 플러그인슬러그

공식 저장소와 다른 파일이 있으면 경고가 출력됩니다.

안전한 플러그인 관리 원칙

1. 공식 저장소에서만 무료 플러그인 설치
2. 유료 플러그인은 공식 개발사 사이트에서 직접 구매
3. “Nulled”, “GPL”, “무료 다운로드” 사이트 이용 절대 금지
4. 사용하지 않는 플러그인은 비활성화가 아닌 완전 삭제
5. 설치 전 플러그인명 + “vulnerability” 키워드로 CVE 검색

비용을 아끼려고 불법 플러그인을 쓰다가 해킹 복구 비용이 수십 배로 늘어나는 경우를 여러 번 봤습니다. 유료 플러그인은 정가에 구매하는 것이 훨씬 저렴한 선택입니다.