- 호주 사이버보안센터(ACSC)가 CMS와 플러그인의 알려진 결함을 노린 글로벌 캠페인을 공식 경고했다.
- 대표 익스플로잇 대상에는 2024년 Pwn2Own에서 시연된 PHP CVE-2024-4577 같은 고위험 항목이 포함된다.
- 공격자는 웹 셸 설치와 기업 크리덴셜 탈취를 시도하며 호주 내 피해 기업에서도 침해 흔적이 관측되었다.
즉시 패치와 컴포넌트 재고 점검, 웹 셸 모니터링을 병행하지 않으면 동일 캠페인의 2차 피해 가능성이 커진다.
2026년 7월 11일, 호주 사이버보안센터(ACSC)는 콘텐츠관리시스템(CMS)과 관련 플러그인의 알려진 취약점을 악용해 웹 셸 설치 및 기업 계정 탈취를 시도하는 글로벌 캠페인을 식별했다고 공식 경고했다. Bleeping Computer도 같은 날 이 경보를 상세히 보도하며 익스플로잇 대상에 PHP CVE-2024-4577이 포함된다고 확인했다. 호주를 중심으로 다수 기업에서 이미 데이터 탈취와 백도어(backdoor) 흔적이 보고되면서, CMS 운영자와 호스팅 사업자의 즉각적인 조치가 요구되는 상황이다.
ACSC 경보의 핵심 내용
발령 시점과 글로벌 캠페인 범위
ACSC는 2026년 7월 초 기준 전 세계를 무대로 활발히 움직이는 익스플로잇 캠페인을 추적 중이라고 밝혔다. 공격은 특정 국가에 한정되지 않으며, 외부 노출이 있는 웹 서버를 자동으로 탐색해 무차별적으로 침투를 시도하는 양상을 보인다. Bleeping Computer에 따르면 이번 경보는 호주 정부 차원의 공식 권고로 분류되며, 자국 기업뿐 아니라 해외 공급망까지 점검 범위를 넓혀야 함을强调한다.
주요 타깃과 악용 행위
캠페인의 1차 타깃은 공개인터넷에서 노출된 CMS 본체와 서드파티 플러그인, 그리고 PHP 런타임이다. 침투에 성공한 공격자는 웹 셸을 업로드해 명령을 실행하고, 관리자 패널 자격 증명, API 키, 데이터베이스 접속 정보 등 기업 크리덴셜을 수집한다. 이후 수집한 계정 정보를 활용해 내부 시스템으로 측면 이동(lateral movement)하는 흐름이 관측된 것으로 분석된다.
익스플로잇된 대표 취약점
PHP CVE-2024-4577과 Pwn2Own 배경
이번 캠페인에서 두드러진 결함은 PHP의 CVE-2024-4577이다. 이 취약점은 2024년 Pwn2Own 대회에서 처음 시연되었으며, 특정 문자 인코딩 변환 과정에서 인자 주입(argument injection)이 발생할 수 있는 고위험 항목으로 분류된다. Windows 환경에서 PHP-CGI 모드를 사용하는 서버에 특히 큰 영향을 미치며, 원격 코드 실행(RCE)으로 이어질 수 있어 익스플로잇 가치가 매우 높다.
CMS와 플러그인에서의 악용 시나리오
PHP 결함은 단독으로도 위험하지만, 취약 CMS 본체나 방치된 플러그인과 결합되면 공격 표면이 기하급수적으로 커진다. 오래된 워드프레스, 줌라, 드루팔과 같은 CMS에서는 인증이 필요 없는 원격 코드 실행, 파일 업로드 우회, 관리자 세션 탈취 등 다양한 결함이 누적되어 있다. 공격자는 이를 다단계 체인으로 연결해 초기 침투 후 빠르게 웹 셸을 영구화하는 것으로 보인다.
국내외 피해 현황
호주 기업 침해 사례
ACSC는 자국 다수 기업에서 데이터 탈취 및 시스템 백도어가 보고되었다고 밝혔다. 피해 조직의 규모와 업종은 정확히 공개되지 않았지만, 웹 서버를 통한 초기 침투 이후 내부 시스템까지 영향이 확산된 사례가 포함된 것으로 전해졌다. 일부 조직에서는 웹 셸이 장기적으로 은닉되어 데이터 유출이 반복 발생한 정황도 포착된 것으로 분석된다.
웹 셸 설치 및 크리덴셜 탈취 패턴
공격자는 침투 이후 외형상 정상 파일처럼 위장한 웹 셸을 업로드하고, 시스템 명령 실행, 파일 다운로드, 데이터베이스 조회 기능을 활성화한다. 동시에 관리자 패널, FTP, SSH, 클라우드 콘솔 등 다양한 경로의 크리덴셜을 수집해 2차 침투에 활용한다. 이 같은 패턴은 단일 취약점 패치만으로는 차단이 어렵기 때문에, 광범위한 모니터링과 재인증 절차를 동시에 적용해야 한다.
권고 사항과 점검 체크리스트
즉시 패치 및 컴포넌트 재고 조사
ACSC 권고의 1순위는 사용 중인 CMS, 플러그인, PHP 런타임의 버전을 즉시 확인하고 최신 보안 패치를 적용하는 것이다. 이를 위해 다음 항목을 우선적으로 점검해야 한다.
- PHP 런타임을 최신 안정 버전으로 업데이트하고 CVE-2024-4577 패치가 포함된 빌드를 적용
- 운영 중인 모든 CMS와 플러그인의 버전, 활성화 상태, 마지막 업데이트 일자를 자산 목록으로 작성
- 더 이상 유지보수되지 않거나 알려진 취약점이 다수 보고된 플러그인은 즉시 비활성화 및 제거
- PHP-CGI와 같이 외부 노출이 큰 모드의 사용 여부를 검토하고, 불필요하다면 FastCGI-FPM 방식으로 전환
웹 셸과 비정상 계정 모니터링 절차
패치와 함께 이미 침투가 발생했는지를 확인할 수 있는 모니터링 체계 가동이 필수다. ACSC와 Bleeping Computer는 웹 셸 흔적과 비정상 계정 생성 여부를 집중적으로 살펴야 한다고 당부했다.
- 웹 디렉터리 전체에서 base64, eval, system, passthru, assert 등 위험 키워드를 포함한 파일을 스캔
- 최근 변경된 파일의 타임스탬프와 작성자 권한, 비정상적인 소유자 계정 여부를 점검
- 관리자 패널, 데이터베이스, SSH 접근 로그에서 평소와 다른 IP, 시간대, 사용자 에이전트 패턴을 탐지
- 비밀번호, API 키, SSL 인증서를 전량 교체하고 다요소 인증(MFA)을 전 계정에 강제 적용
조직이 취해야 할 단기 행동
단기적으로는 먼저 인터넷 노출 자산 전체를 빠르게 재고 조사해 외부에서 접속 가능한 모든 CMS 인스턴스를 식별해야 한다. 그다음 취약점 우선순위를 위협 기반 위험도 점수와 결합해 패치 순서를 정하고, 24~72시간 내에 핵심 결함부터 조치하는 것이 권장된다. 동시에 침해 흔적이 의심되는 시스템은 네트워크에서 격리하고 포렌식 분석을 통해 웹 셸과 백도어 존재 여부를 확정해야 한다. 마지막으로 동일 공급망에 속한 협력사, 외주 개발사, 호스팅 사업자에게도 동일한 점검을 요청해 공동 책임을 분담해야 침해 확산을 막을 수 있다.
핵심 정리
- ACSC 경보는 CMS와 플러그인의 알려진 취약점을 노린 글로벌 익스플로잇 캠페인의 존재를 공식화한 사건이다.
- PHP CVE-2024-4577을 포함한 고위험 결함이 즉시 패치 대상 1순위로 분류되며, Pwn2Own 입증 이력 때문에 익스플로잇 위험이 매우 높다.
- 공격자는 웹 셸 설치와 기업 크리덴셜 탈취를 통해 측면 이동과 데이터 유출을 시도하므로 패치만으로는 방어가 불완전하다.
- 호주 다수 기업에서 이미 침해 흔적이 보고된 만큼, 전 세계 CMS 운영자는 자산 재고 조사, 패치, 모니터링을 동시에 수행해야 한다.
참고 출처: