필자는 다수의 웹사이트를 관리하고 있습니다. 이중에는 주로 유지보수 계약을 통해 매년 갱신하면서 관리해주기도 하지만 특별한 경우는 해커의 동향 파악을 위해 무료로 관리해주고 있는 곳도 있습니다. 이 특별한 관리 대상은 웹사이트를 애초에 국내 CMS를 이용해 사용하던중 워드프레스로 전환해 개발한 사례입니다.
국내의 CMS는 상당히 보안에 취약하고 보안을 위한 조치도 없었던 모양입니다. 관리자 로그인 아이디는 admin으로 돼있었고 비밀번호는 숫자 몇 개에 불과했습니다. 콘텐츠 이전을 위해 로그인하고 둘러보니 주로 콘텐츠 관리를 위한 도구 뿐이고 워드프레스처럼 보안 플러그인을 설치해 웹사이트 상황을 볼 수 있는 화면도 전혀 없습니다.
이런 사이트를 워드프레스로 개발하기 위해 개발사이트로 모든 콘텐츠를 이전한 다음 마지막으로 도메인 변경을 하고 나서 보안 플러그인을 설치하면 엄청난 공격이 목격됩니다. 보안 플러그인을 설치하기 전에는 모르는 상황이고 워드프레스 사이트로 전환하기 전에는 이미 상당히 많은 공격이 있었고 이미 해킹이 돼 모든 고객의 정보가 노출됐을 겁니다.
새로운 워드프레스 사이트에서 관리자 로그인 아이디를 추측하기 어려운 것으로 변경하고 비밀번호도 어려운 것으로 변경하고나면 해킹의 염려는 없어지지만 한번 해킹된 도메인은 무엇으로 변경하더라도 공격을 막을 수는 없습니다. 아주 다양한 방법으로 해킹을 계속 시도하고 있습니다. 도메인을 바꾸는 것이 최선의 방법이겠지만 도메인은 상표와 같아서 아주 어려운 결정을 해야 합니다.
이러한 해커의 공격을 예방하려면 관리자 아이디는 절대 admin으로 사용하지 말아야 하고 쉽게 예측 가능한 것도 절대 사용하지 말아야 합니다. 한번 아이디가 노출되면 지속적으로 공격합니다. 해커는 수작업으로 해킹을 시도하지 않고 컴퓨터를 이용하기 때문에 큰 수고도 들지 않습니다. 드루킹의 매크로 프로그램을 떠올리면 이해가 쉬울겁니다.
admin이라는 관리자 아이디가 노출돼 다양한 비밀번호로 로그인 시도를 하고 있는 상태입니다. 이런 것이 수천 개나 됩니다.
필자의 테스트 사이트로 도메인이 kopress.org인데 다양한 관리자 아이디로 로그인 시도를 하고 있는 상태입니다. 게다가 해커의 ip가 하나도 아니고 다수의 국가에서 일어나고 있습니다. 이 사이트도 처음에는 admin이라는 관리자 아이디를 사용했고 다른 것으로 변경하자 여러 가지 예측을 해서 로그인 시도를 하고 있죠.
최근 개발되고 있는 사이트입니다. 이 사이트는 소유자가 테스트를 하기 위해 관리자 아이디를 admin으로 사용했을 겁니다. 이후 제가 넘겨받아 개발하면서 admin이라는 아이디를 사용하지 않기 때문에 invalid username으로 나옵니다. 이 사이트의 도메인을 계속 사용한다면 끝 없는 해커의 공격이 시도될 것입니다. 그나마 보안 플러그인을 설치해 라이브 트래픽을 볼 수 있는 것이지 워드프레스 사이트가 아니라면 불가능하겠죠.
워드프레스를 사용하지 않으면서 웹사이트를 운영중이라면 admin이라는 관리자 아이디를 반드시 변경하세요. 비밀번호도 어려운 것으로 변경하세요. admin이라는 아이디를 사용하면서 쉬운 비밀번호를 사용하고 있다면 이미 해킹됐다고 보면 됩니다. 해커는 드러나지 않게 아주 조용히 작업합니다.
