퇴사자의 복수? 워드프레스 2만개 사이트 비상... 전 직원이 ‘관리자 권한’ 백도어 심어

인기 워드프레스 플러그인에 퇴사자가 백도어 심어
퇴사자 권한 관리 중요성 보여주는 사례

[보안뉴스 김형근 기자] 인기 워드프레스 플러그인에서 웹사이트 전체 권한을 갖는 관리자 계정을 원격 생성하는 취약점이 발견됐다. 플러그인 개발사 전 직원이 퇴사 전 고의적으로 숨겨 놓은 것이었다.

[출처: 워드펜스]

LA-스튜디오(LA-Studio)라는 미국 워드프레스 관련 개발사의 플러그인 제품(Element Kit for Elementor)에서 인증 절차 없이도 웹사이트 전체 제어권을 갖는 관리자 계정을 생성할 수 있는 백도어 취약점이 발견됐다.

이 취약점(CVE-2026-0920)은 위험도 점수(CVSS) 10점 만점에 9.8점을 받은 고위험 결함이다.

조사 결과, 이 백도어는 지난해 12월 말 퇴사한 전 직원이 고용 종료 직전 고의로 삽입한 것으로 드러났다.

이 취약점을 발견한 보안 연구원들은 최근 워드프레스 전문 보안 기업 워드펜스(Wordfence)의 버그 바운티 프로그램에 이 사실을 알렸다.

취약점은 플러그인의 사용자 등록 시스템 내 ajax_register_handle 함수에서 발견됐다. 공격자는 등록을 요청할 때 lakit_bkrole이라는 특수 파라미터를 포함해 전송하는 수법을 썼다. 이 파라미터가 감지되면 시스템은 새로 생성되는 계정에 즉시 관리자 권한을 부여하도록 설계돼 있다.

문제의 직원은 보안 점검을 피하기 위해 백도어 코드를 정교하게 난독화해 숨겼다. 또 문자열 조작과 간접 함수 호출 기술을 사용해 코드를 숨겨 보안 분석을 피하려 했다.

관리자 권한을 얻은 공격자는 악성 파일 업로드, 콘텐츠 수정, 방문자 리디렉션 등 심각한 2차 피해를 입힐 수 있다.

영향을 받는 버전은 1.5.6.3 이하 모든 버전이며, 현재 2만 개 이상의 활성 사이트가 잠재적 위험에 노출돼 있다. 개발사 LA-스튜디오는 제보를 받은 후 이틀 만인 14일 수정된 버전인 1.6.0 출시했다. 이 플러그인을 사용하는 모든 관리자에게 즉시 최신 버전으로 업데이트하라고 회사측은 권고했다.

이 사건은 퇴사자 코드 수정 권한 관리와 심층 코드 리뷰 프로세스의 중요성을 보여준다. 신뢰받는 플러그인이라도 퇴사자에 대한 관리와 통제 절차가 수반되지 않을 경우 공급망이 붕괴될 수 있다.