워드프레스 플러그인 30여 개, 인수 후 백도어 감염

정체불명의 구매자가 2025년 초 Flippa 마켓에서 워드프레스 플러그인 포트폴리오 30여 개를 6자릿수 금액에 인수했다. 그리고 업데이트를 가장해 PHP 역직렬화 백도어 191줄을 심었다.

8개월간 잠복한 코드가 2026년 4월 7일 워드프레스 보안팀에 발각됐다. 전 플러그인이 일괄 폐쇄됐다. 같은 주에 Smart Slider 3 Pro(80만+ 활성 설치)도 업데이트 서버가 해킹되는 별도 공격이 발생했다.

인수-오염(acquire-and-poison) 공격의 전형이다. 소규모 플러그인을 정당하게 사들인 뒤, 업데이트 채널을 악용해 수천 사이트에 백도어를 배포하는 구조다.

오픈소스 플러그인 생태계의 구조적 취약점이 드러났다. 프로젝트 매각 시 인수자의 의도를 검증할 장치가 없다. 자동 업데이트라는 편의 기능이 공격 벡터가 되는 역설이다.

FAQ

어떻게 감염됐나?

정상적인 플러그인 업데이트처럼 보이는 코드에 PHP 역직렬화 백도어 191줄이 숨겨져 있었다. 자동 업데이트를 켜둔 사이트는 자동으로 감염됐다.

왜 8개월이나 숨었나?

악성 코드가 정상 업데이트에 섞여 있어 보안 스캐너에 잘 잡히지 않았다. 워드프레스 보안팀이 패턴 분석으로 발견할 때까지 잠복했다.

오픈소스 플러그인 생태계의 문제인가?

소규모 플러그인 개발자가 프로젝트를 매각하면 인수자의 의도를 검증할 수 없다는 구조적 취약점이다. 인수-오염(acquire-and-poison) 공격의 전형이다.

FAQ