GravityForms 공식 플러그인에서 공급망 침해로 보이는 맬웨어 발견

 (patchstack.com)
1P by GN⁺ 2일전 | ★ favorite | 댓글 1개
  • 워드프레스의 GravityForms 플러그인 최신 버전에서 악성코드가 발견됨
  • 이는 공급망 침해(supply chain breach) 로 인해 공식 배포본이 감염된 상황임
  • GravityForms는 여러 웹사이트에서 폼 빌더로 널리 사용되고 있음
  • 보안 연구자들은 취약점의 영향 범위와 위험성을 조사 중임
  • 해당 플러그인을 사용하는 웹사이트는 신속한 점검과 교체 필요성이 강조됨

GravityForms 공급망 침해 개요

  • 최근 공식 워드프레스 플러그인 GravityForms에서 악성코드가 검출되었음
  • 이번 사건은 공급망 침해(Supply Chain Breach) 의 대표적 사례로 평가됨
  • 공식 소스에서 감염이 발생해, 신규·기존 설치 모두 신뢰도 하락 현상 발생함

GravityForms와 보안 영향

  • GravityForms는 워드프레스 기반 웹사이트에서 폼 작성 및 관리를 쉽게 할 수 있도록 지원하는 인기 플러그인임
  • 광범위하게 사용되는 만큼, 공급망 공격의 피해 범위가 상당히 넓을 가능성 높음
  • 이번에 삽입된 악성코드는 전체 웹사이트와 사용자 데이터의 보안 위협으로 이어질 수 있음

조사 및 대응

  • 보안 전문가들은 감염 경로 분석과 더불어, 추가 확산 사례 조사 중임
  • 공급망 침해를 통해 공식 경로로 유포된 악성코드는 신뢰가 높다고 여겨지는 소프트웨어도 위험에 노출됨을 시사함

GravityForms 이용자 권고

  • GravityForms를 설치했거나 업데이트한 웹사이트 운영자는 즉각 플러그인 무결성 점검이 필요함
  • 공식 채널의 보안 발표와 업데이트 공지를 예의주시해야 하며, 의심되는 경우 강제 삭제 및 재설치 권장됨

결론

  • 공급망 공격은 신뢰 사슬 자체를 위협하고, 기업 및 개발자 모두에게 중요한 경각심을 일으킴
  • 향후 플러그인 선택과 보안 관리에 있어 검증 및 지속적 관찰의 중요성이 강조됨
GN⁺ 2일전  [-]
Hacker News 의견

  • 이 공급망 침해를 꼼꼼한 시스템 운영자가 느린 HTTP 요청을 추적하며 발견해줘서 정말 고마운 마음임
    비슷하게 xz 사건 때도 SSH 로그인 성능 저하를 이상하게 느낀 개발자가 꼼꼼하게 살펴보다가 침해 사실을 밝혀낸 경험이 있음

    • 예전에는 악성코드가 시스템 성능 저하로 쉽게 구별되곤 했지만, 요즘은 하드웨어 속도도 빨라지고 네트워크도 복잡해지다보니 기본적으로 탐지 자체가 훨씬 어려워진 느낌임
      악의적인 사람들도 점점 더 교묘해지고, 우리는 더 다양한 출처의 더 많은 구성요소로 시스템을 조립하는 중임
      전체 IT 인프라가 점점 기본적으로 신뢰도를 잃어가는 장기적인 모습이 걱정되는 마음임

  • 공식 Gravity Forms 공지문(https://www.gravityforms.com/blog/security-incident-notice/)을 보면, Gravity Forms를 홈페이지에서 직접 다운로드했거나 Composer로 설치한 경우에만 영향을 받는다고 안내하고 있음
    내가 확인한 바로는, Composer 설치 방법도 설치 패키지를 받는 과정에서 Gravity Forms API를 사용하기 때문에 Gravity Forms 플러그인 내부의 자동 업데이트 기능이나 WP-CLI 플러그인과 같은 동작 원리를 공유함
    Gravity Forms 개발팀이 이번 사건을 조사하기 위해 제3자 보안업체에 의뢰할지 궁금함
    지금까지는 관련 언급이 없는 상황임

  • RocketGenius 직원 중 한 명에게 확인 받은 바로는, 이번 악성코드는 수동 다운로드와 composer 설치에서만 영향을 끼친다고 들었음
    안도의 마음이 듦

  • form을 확인하기 전에 nonce를 사용하는 방식이면 이번 문제의 상당 부분을 예방할 수 있었을 것임
    다르게 말하자면, 덕분에 대량의 수작업이 갑자기 필요해질 수 있었음

    • 기술적인 배경이 있어서 이해는 되지만, 영국인 입장에선 이런 문장이 항상 좀 웃기게 느껴짐

  • 이런 일이 얼마나 오랫동안 감지되지 않고 있었는지 궁금함

  • 악성코드를 찾아내고 확산을 막기 위한 대처를 한 점이 멋지다고 생각함
    다만 기사에서 약간 헷갈리는 오류가 있었음
    맨 위에 최신 업데이트 날짜가 원래라면 "Update 7-12-2025 06:00 UTC"여야 할 것 같은데, 미래 날짜인 08-11-2025로 되어 있음
    아마 작성자가 잘못된 자릿수를 올린 것 같다는 생각임

    • 숫자가 어떤 의미인지를 헷갈리는 건 자연스러운 일임
      미국식 날짜에 ISO 형식을 흉내내어 대시를 쓰지만, 순서와 패딩을 잘못 표기하면 이런 혼선이 생긴다는 반면교사의 느낌임

  • 이 사건이 어디까지 영향을 끼치는 질문이 나옴
    인터넷 사이트의 90%까지인가 아니면 트래픽 적은 소수 사이트뿐인가 궁금함

    • 그 중간 정도임
      Gravity Forms는 아주 인기 있는 프리미엄 WordPress 플러그인임
      내가 WordPress 사이트 여러 개를 유지관리하고 있는데(내가 직접 선택한 플랫폼은 아니었으나 어쩔 수 없이) 디자인과 기능 측면에서 Gravity Forms가 대부분 경쟁 플러그인보다 낫다는 생각임(단, CPU 소모량은 많음)
      문제도 그리 많지 않고, 개발자 입장에서 Rocket Genius와 티켓 처리를 하며 소통한 경험에서 긍정적이라는 느낌임
      소규모·중규모 조직에 상당히 많이 설치된 플러그인이 맞음
      정확한 숫자는 모르지만, 공식 WordPress.org 인기 통계는 무료 플러그인만 반영하는 한계가 있어서 실제로는 많은 사이트와 많은 트래픽이 돌아가는 상황임
      단, 실제로 위험에 노출된 사이트 수는 제한적임
      문제가 된 패키지가 메인 자동배포 채널엔 포함되지 않았기 때문에 실제 영향을 받은 곳은 소수임
    • 문제의 버전을 수동 다운로드한 소수의 사이트만 영향 받았음을 강조함
      대다수 프리미엄(유료) 업데이트 파일은 Gravity API 게이트웨이를 통해 전달되는 방식인데(소문에 따르면 AWS 기반 파일 호출 구조), 이 경로는 영향 받지 않았다고 함
      Gravity API 서비스는 라이선스, 자동 업데이트, 애드온 설치를 담당하는데, 자체적으로 침해받은 적이 없음
      해당 서비스를 통한 모든 패키지 업데이트는 안전함을 안내함
    • "감염은 널리 퍼진 것 같지 않고, 이는 백도어가 심어진 플러그인 버전이 아주 짧은 기간만 노출되어 극소수 사용자에게만 배포된 것일 수 있음"이란 안내도 있음

  • AB of Ac1dB1tch3z 그룹에 의해 털린 경험을 말함

  • 어떤 플러그인인지 명확하게 써줘야 한다는 의견이 나옴

    • 제목에 이미 명확히 나와있고, 공식 GravityForms 플러그인임을 언급함
      이번 이슈는 v2.9.13에서 수정됐고, 공식 변경내역에는 침해 기록이 언급되어있지 않음
답변달기