최근 필자가 관리하고 있는 사이트에서 해킹을 당해 모든 파일을 스캔해 악성코드를 제거하고 깨끗히 정리한 사례가 있습니다. 이 사이트는 회원관리 사이트로서 사이트 담당자에게 관리자 비밀번호를 어렵게 만들어줬습니다. 그런데 별도로 두 계정을 만들어 관리자로 등록했더군요. 이들 관리자가 워드프레스가 제안하는 어려운 강한 비밀번호를 사용했을 리가 만무합니다. 관리자 비밀번호는 항상 해킹하기 어려운 강한 비밀번호를 만들어야 합니다.
이러한 외우기 쉬운 관리자 비밀번호는 해킹하기 쉽습니다. 구글 검색하면 워드프레스 사이트에서 사용자 아이디를 찾아내는 방법과 비밀번호를 무차별대입 공격(Brute Force Attack)을 이용해 알아내는 방법을 알 수 있습니다. 이런 사례를 보여줌으로서 워드프레스의 보안을 얼마나 철저히 해야하는지 경고하는 것이죠.
워드프레스가 해킹의 대상이 되는 이유는 소스가 공개돼있고 많은 사이트에서 사용되고 있기 때문입니다. 그만큼 워드프레스 사이트 관련 보안 프로그램도 많습니다. 워드프레스가 아닌 일반 사이트는 이런 보안 프로그램도 없어서 워드프레스 보다도 더 쉽게 해킹의 대상이 될 수 있습니다. 따라서 워드프레스이기때문에 보안이 취약하다고는 말할 수 없습니다. 얼만큼 보안에 주의를 기울이냐의 문제입니다.
앞으로 몇 차례에 걸쳐서 워드프레스 보안 관련 글을 올리고 해킹된 사이트에서 악성코드를 제거한 사례를 알아보겠습니다. 또한 해커는 해킹한 정보를 어떻게 피싱에 이용하는지에 대해서도 필자의 경험을 통해 알아보겠습니다.
1. 워드프레스 보안 첫 단계
강력한 관리자 비밀번호
워드프레스는 설치시 강력한 관리자 비밀번호를 사용할 것을 요구하고 있고 약한 비밀번호를 입력할 경우 취약한 비밀번호 사용 확인에 체크하도록 하여 경각심을 일깨워주고 있습니다. 필자의 경우 관리 업체별로 파일을 만들어 정보를 저장해두고 있는데 최근에는 Enpass라는 비밀번호 관리 프로그램을 사용하고 있습니다.
만일 위 화면에서 간단한 비밀번호를 입력해 사용한다면 이 사이트는 해킹의 쉬운 먹이라고 생각하면 됩니다. 간단한 비밀번호는 컴퓨터가 풀어내는데 시간이 얼마나 걸리는지 아래의 사이트에서 알아볼 수 있습니다.
https://howsecureismypassword.net/
위 사이트에서 간단한 비밀번호를 입력했더니 아래와 같이 풀어내는데 1분이 걸린다고 합니다.
해커는 고성능 컴퓨터를 이용해 매크로 프로그램을 실행해 무차별 대입공격을 합니다. 성능이 좋은 컴퓨터라면 더 빠르게 알아낼 수 있을 겁니다. 필자의 경우 테스트 사이트에서 사용한 해킹된 비밀번호를 입력했더니 위와 같이 1분밖에 안걸리더군요. 그러면 워드프레스가 제안하는 강한 비밀번호를 입력하면 얼마나 걸리는지 알아볼까요?
워드프레스에서 제안된 "lIYgTVPzZiCIq^)WCi"라는 비밀번호를 입력했더니 위처럼 배경색이 초록으로 변하면서 586x1012년이 걸린다고 합니다. 제 테스트 사이트를 해킹한 놈도 피싱 이메일을 보내면서 보안에 좀 신경쓰라고 빈정대더군요. 어떤 피싱 이메일을 보냈는지는 나중에 게시하겠습니다.
로그인 비밀번호는 대부분 하나의 비밀번호를 여러 곳에서 사용하죠. 외우기 힘들기 때문에 자주 잊곤 합니다. Enpass나 1Password 등 비밀번호 관리 프로그램을 이용할 것을 적극 추천합니다. 해킹은 관리자나 일반 사용자나 마찬가지로 피싱의 대상이 됩니다. 제 비밀번호를 해킹한 놈은 같은 비밀번호를 사용하는 것으로 알고 이메일로 필자의 컴퓨터를 해킹했으니 비트코인을 보내라고 하더군요.
중요한 사이트는 워드프레스에서 제안하는 비밀번호를 항상 사용하고 있습니다. 어쩌다 테스트 사이트에 사용한 비밀번호를 가지고 컴퓨터를 해킹했다느니 하는 협박 피싱 메일을 보내다니 참 한심한 해커입니다. 하지만 컴퓨터에 대한 지식이 없는 일반인은 상당히 당황할 것입니다. 따라서 사이트 관리자가 아니더라도 비밀번호 관리는 철저히 해야 합니다.
강력한 비밀번호를 사용하지 않는 사이트 관리자는 지금 당장 변경하세요!!
지금 변경하지 않더라도 나중에 자신의 사이트에 어떤 일이 벌어지고 있는지에 대한 글을 보고나면 변경하게 될 겁니다.^^
2. 워드프레스 로그인 경로 변경
워드프레스는 설치후 처음으로 로그인을 하는데 아래와 같은 화면이 나옵니다.
주소창을 보면 wp-login.php로 돼있죠. 이 로그인 경로가 해커들의 무차별대입 공격의 대상이 됩니다.
http://localhost/wordpress500/wp-login.php?username=admin;password=admin
위와같은 형태로 url 다음에 변수를 넣는 방식으로 계속 대입을 하는 것입니다. 사람이 하는 것이 아니라 컴퓨터가 자동실행합니다. 따라서 위와 같은 로그인 페이지는 제거해야 합니다. 제거한다기 보다는 관리자만 알 수 있는 경로를 만들어주는 것입니다. 사이트에 문제가 있을 때는 이 경로로 관리자가 로그인해야 하기 때문입니다. 플러그인 검색창에서 "WPS Hide Login"로 검색하거나 아래의 링크로 이동해 다운로드 받아 설치하세요.
https://wordpress.org/plugins/wps-hide-login/
30만 이상의 사이트에서 사용하고 있으니 좋은 플러그인입니다.
설치후 Settings를 클릭하면 설정화면으로 이동합니다. login이라는 글자를 자신만의 글자로 변경하고 저장합니다. 대부분의 워드프레스 사이트는 전면(Front End)에 로그인 메뉴를 만들고 이 메뉴를 클릭하면 전면에서 로그인할 수 있는 화면이 나오도록 하고 있습니다. 우커머스 쇼핑몰은 기본적으로 로그인과 회원가입 화면이 전면에 배치됩니다. 관리자도 이러한 전면에서 로그인합니다. 사이트를 이전하거나 사이트에 문제가 있을 경우 메뉴가 보이지도 않고 경로도 알 수 없다면 관리자는 위에서 입력한 글자를 도메인/ 다음에 입력하고 엔터하면 기본적인 로그인 화면이 나오게 됩니다.
지금까지 비밀번호의 중요성과 로그인 주소를 변경하는 방법을 알아봤습니다. 이 두 가지만 하더라도 초보 해커는 건드릴 수 없는 사이트가 됩니다. 이중 한가지도 하지 않은 사이트는 언젠가 피싱 이메일이 날라와 당황하게 되는 날이 올겁니다. 다음 글에서는 워드프레스 사이트를 개설하면 최초의 방문자가 누구인지에 대해 알아보겠습니다.