Gravity SMTP 취약점, 10만 사이트 공격받고 있어 — WordPress 관리자 필독

WordPress 사이트 관리자라면 지금 당장 Gravity SMTP 플러그인을 점검해야 합니다. 보안 업체 Wordfence에 따르면 CVE-2026-4020로 추적되는 정보 노출 취약점이 전 세계 10만여 사이트에 설치된 플러그인에서 무단으로 악용되고 있습니다. 이 취약점은 인증 없이 REST API 엔드포인트에 접근해 시스템 리포트 전체를 JSON 형태로 탈취할 수 있게 하며, 노출된 정보가 이메일 서비스 인증 정보까지 포함할 수 있어 사이트 탈취와 후속 공격으로 이어질 수 있습니다. 특히 6월 7일에는 하루 alone으로 400만 건 이상의 공격 시도가 Wordfence 방화벽에 차단되었고, 이후에도 유사한 공격이 지속되고 있습니다.

Gravity SMTP의 정보 노출 취약점, 어떻게 공격당하는가

CVE-2026-4020는 Gravity SMTP 플러그인 버전 2.1.4 이하에서 발생하는 인증 불필요(unauthenticated) 정보 노출 취약점입니다. 공격자는 REST API 엔드포인트 /wp-json/gravitysmtp/v1/tests/mock-data에 GET 요청을 보내면 플러그인이 생성하는 시스템 리포트를 그대로 받아볼 수 있습니다. 이 시스템 리포트는 사이트의 PHP 버전, 설치된 플러그인 목록, 서버 환경, 그리고 특히 이메일 전송 서비스에 연결된 API 키나 SMTP 인증 정보까지 담고 있습니다. 문제는 이 REST 엔드포인트의 permission_callback이 항상 true를 반환해 인증 없이 누구나 접근할 수 있도록 허용된다는 점입니다. Wordfence는 이 취약점을 "medium" 심각도로 분류했지만, 실제로는 인증 없이도 데이터를 탈취할 수 있고, 탈취된 정보가 후속 공격에 악용될 가능성이 높아 실질적 위험도는 훨씬 높습니다.

공격자는 이 취약점을 통해 얻은 이메일 인증 정보를 이용해 사이트의 이메일 서비스를 위장하거나, 시스템 리포트에서 노출된 소프트웨어 스택과 알려진 취약점을 바탕으로 추가 공격을 계획할 수 있습니다. 예를 들어, 특정 플러그인의 취약한 버전이 설치되어 있다면 그 플러그인을 대상으로 한 익스플로잇을 시도할 수 있습니다. Wordfence는 이 문제를 "사이트의 연결된 이메일 서비스를 악용할 수 있으며, 시스템 리포트가 노출되면서 후속 공격 계획 수립에 필요한 노력을 크게 줄여준다"고 지적했습니다. 특히 이메일 서비스가 AWS SES, SendGrid, Mailgun 등 클라우드 기반 서비스로 연결되어 있다면 공격자는 해당 서비스의 인증 정보를 탈취해 스팸 발송이나 피싱 공격에 악용할 수도 있습니다.

공격 규모와 타임라인: 6월 7일 최고조, 현재까지 지속적 공격

Wordfence의 통계에 따르면 CVE-2026-4020 취약점을 악용한 공격은 6월 7일을 정점으로 급증했습니다. 이날 Wordfence 방화벽이 보호 중인 고객 사이트에서만 무려 400만 건 이상의 공격 시도가 차단되었으며, 이후에도 유사한 수준의 공격이 며칠에 걸쳐 지속되었습니다. 이는 공격자들이 이 취약점을 대규모로 스캔하고 자동화된 익스플로잇을 수행하고 있음을 의미합니다. Wordfence는 공격의 주요 출발지 IP 주소 목록도 공개했는데, 사이트 관리자들은 이를 방화벽이나 서버 차단 목록에 즉시 추가해 추가 공격을 예방해야 합니다.

이 취약점은 3월 17일 Gravity SMTP 플러그인 버전 2.1.5가 출시되면서 패치되었습니다. 그러나 많은 사이트 관리자들이 플러그인 업데이트를 소홀히 하거나 자동 업데이트를 비활성화해 둔 탓에 아직도 2.1.4 이하 버전이 상당수 남아 있는 것으로 보입니다. 특히WordPress는 플러그인의 자동 업데이트가 기본적으로 비활성화되어 있어, 관리자가 수동으로 업데이트를 확인하고 설치해야 합니다. 공격자들은 이러한 관리자의 소홀함을 악용해 지속적으로 취약한 사이트를 스캔하고 있습니다.

어떤 사이트가 위험한가? 영향 범위와 노출 정보 분석

CVE-2026-4020 취약점의 영향 범위는 전 세계 10만여 개의 WordPress 사이트로 추정됩니다. 이 플러그인은 이메일 전송 기능을 보강하는 SMTP 플러그인으로, WooCommerce나 Gravity Forms와 같은 인기 플러그인과 함께 사용되는 경우가 많아 영향력이 큽니다. 특히 이메일 인증 정보가 노출될 경우, 사이트의 이메일 서비스를 통한 피싱이나 스팸 발송, 또는 계정 탈취로 이어질 수 있습니다. 또한 시스템 리포트에 포함된 소프트웨어 스택 정보는 공격자가 사이트의 보안 취약점을 분석하는 데 도움이 되며, 이는 후속 공격의 성공 가능성을 높입니다.

Wordfence에 따르면 공격의 주요 표적은 Gravity SMTP의 시스템 리포트 엔드포인트에 접근하는 요청입니다. 특히 wp-json/gravitysmtp/v1/tests/mock-data 엔드포인트에 ?page=gravitysmtp-settings 쿼리 파라미터가 포함된 요청이 악용되고 있습니다. 이 패턴은 웹 서버 로그에서 쉽게 확인할 수 있는 인디케이터 오브 컴프romise(IoC)로, 관리자들은 로그를 확인해 해당 패턴의 접근 시도가 있는지 확인해야 합니다. 또한, 시스템 리포트에 포함된 이메일 인증 정보가 노출되었다면 즉시 해당 인증 정보를 폐기하고 새로운 인증 정보를 발급받아야 합니다.

관리자를 위한 실무 점검 리스트: 즉시 조치해야 할 사항

Gravity SMTP 플러그인을 사용 중이거나曾经 사용한 사이트 관리자는 다음과 같은 단계로 신속히 대응해야 합니다.

1. 즉시 플러그인 업데이트: Gravity SMTP 플러그인을 2.1.5 이상으로 업데이트하세요. WordPress 대시보드에서 플러그인 목록을 확인하고, 업데이트가 가능한 경우 즉시 설치하세요. 자동 업데이트가 비활성화되어 있다면 수동으로 업데이트를 확인하고 설치해야 합니다.

2. 시스템 로그 검토: 웹 서버 로그에서 /wp-json/gravitysmtp/v1/tests/mock-data 엔드포인트에 대한 접근 기록, 특히 ?page=gravitysmtp-settings 쿼리 파라미터가 포함된 요청을 검토하세요. 이러한 접근은 취약점 악용 시도로 의심됩니다. 로그에서 의심스러운 IP 주소를 차단하고, 해당 IP의 추가 활동을 모니터링하세요.

3. 노출된 인증 정보 폐기 및 재발급: 시스템 리포트에서 이메일 서비스(SMTP, API 키 등)의 인증 정보가 노출되었다면 즉시 해당 인증 정보를 폐기하고 새로운 인증 정보를 발급받으세요. AWS SES, SendGrid, Mailgun 등 클라우드 이메일 서비스를 사용 중이라면 대시보드에서 API 키를 삭제하고 재발급하세요.

4. 이메일 서비스 모니터링: 이메일 서비스 로그를 검토해 스팸이나 피싱 메일이 발송되지 않았는지 확인하세요. 특히 이메일 서비스가 정상적으로 작동하는지, 발송 큐에 비정상적인 요청이 없는지 모니터링하세요.

5. 추가 보안 강화: Gravity SMTP 외에도 WordPress 사이트의 보안을 강화하세요. 가능한 경우, 플러그인 자동 업데이트를 활성화하고, 사용하지 않는 플러그인은 삭제하세요. 또한, WP Cerber Security, Wordfence, Sucuri 등 보안 플러그인을 설치해 추가적인 보호 계층을 마련하세요.

후속 공격 가능성: 시스템 리포트가 공격자에게 주는 이점

CVE-2026-4020 취약점으로 노출된 시스템 리포트는 단순히 이메일 인증 정보뿐만 아니라 사이트의 전체 소프트웨어 스택을 공격자에게 제공합니다. 이 정보는 공격자가 사이트의 보안 취약점을 분석하는 데 결정적인 역할을 합니다. 예를 들어, 특정 플러그인의 알려진 취약한 버전이 설치되어 있다면, 공격자는 해당 플러그인을 대상으로 한 익스플로잇을 시도할 수 있습니다. 또한, PHP 버전, 서버 OS, 웹 서버 종류 등 환경 정보는 공격자가 사이트의 취약점을 찾는 데 도움이 됩니다.

더욱이, 시스템 리포트에 포함된 이메일 서비스 정보는 공격자가 사이트의 신뢰성을 악용할 수 있는 기회를 제공합니다. 예를 들어, 공격자는 노출된 이메일 서비스를 통해 사이트의 관리자나 사용자에게 피싱 메일을 발송할 수 있으며, 이는 사이트의 평판을 손상시킬 뿐만 아니라, 사용자의 개인정보 탈취로 이어질 수 있습니다. Wordfence는 이러한 상황을 "사이트의 연결된 이메일 서비스를 악용할 수 있으며, 시스템 리포트가 노출되면서 후속 공격 계획 수립에 필요한 노력을 크게 줄여준다"고 설명했습니다.

다른 WordPress 플러그인 취약점과의 연계 threat: Avada Builder의 파일 삭제 취약점

Wordfence는 CVE-2026-4020에 대한 경고와 함께, 100만 사이트에 설치된 Avada Builder 플러그인에서 발생한 CVE-2026-871이라는 또 다른 심각한 취약점에 대한 경고도 발령했습니다. 이 취약점은 인증 없이 임의의 파일 삭제가 가능하며, 공격자는 이를 악용해 사이트의 핵심 파일이나 설정 파일을 삭제할 수 있습니다. 이러한 파일 삭제는 사이트의 정상적인 작동을 방해할 뿐만 아니라, 백도어 설치나 추가적인 공격으로 이어질 수 있습니다.

이 두 가지 취약점이 동시에 공격받고 있는 상황에서 WordPress 사이트 관리자들은 플러그인 업데이트뿐만 아니라, 보안 플러그인 설치와 로그 모니터링을 강화해야 합니다. 특히, 자동 업데이트가 비활성화된 플러그인은 수동으로 업데이트를 확인하고 설치해야 하며, 사용하지 않는 플러그인은 즉시 삭제해야 합니다. 또한, 보안 플러그인을 통해 사이트의 보안 상태를 정기적으로 점검하고, 의심스러운 활동이 감지되면 즉시 대응해야 합니다.

실무자에게 주는 교훈: 보안 업데이트의 중요성과 모니터링의 필요성

CVE-2026-4020와 같은 인증 불필요 취약점은 사이트 관리자에게 보안 업데이트의 중요성을 다시 한번 강조합니다. 특히 WordPress와 같은 오픈소스 플랫폼은 플러그인과 테마의 보안 취약점이 끊임없이 발견되고 있으며, 이러한 취약점은 공격자에게는 기회가 됩니다. 관리자들은 플러그인의 자동 업데이트를 활성화하고, 사용하지 않는 플러그인은 삭제하는 등 기본적인 보안 관행을 지켜야 합니다.

또한, 시스템 로그와 보안 플러그인의 모니터링은 사이트의 보안을 유지하는 데 필수적입니다. 로그에서 의심스러운 접근 패턴이나 비정상적인 활동을 신속히 감지하고 대응할 수 있어야 합니다. 특히, REST API 엔드포인트나 관리자 페이지에 대한 접근 로그를 정기적으로 검토하면, 취약점 악용 시도를 조기에 발견할 수 있습니다. 보안 플러그인은 이러한 모니터링을 자동화하고, 의심스러운 활동을 알림으로 제공하므로, 사이트 관리자에게는 필수적인 도구입니다.

결론: 지금 바로 점검하고 대응하라

Gravity SMTP의 CVE-2026-4020 취약점은 인증 없이 정보가 노출되는 심각한 보안 문제로, 전 세계 10만여 사이트가 위험에 노출되어 있습니다. 이 취약점을 악용한 공격은 이미 대규모로 진행되고 있으며, 특히 6월 7일에는 하루에 400만 건 이상의 공격 시도가 차단되었습니다. 사이트 관리자들은 즉시 플러그인을 2.1.5 이상으로 업데이트하고, 시스템 로그를 검토해 악용 시도를 확인해야 합니다. 또한, 노출된 이메일 인증 정보를 폐기하고 새로운 인증 정보를 발급받아야 하며, 이메일 서비스와 로그를 모니터링해야 합니다.

이 외에도 Avada Builder의 파일 삭제 취약점과 같은 다른 심각한 취약점이 동시에 공격받고 있는 상황에서, WordPress 사이트 관리자들은 보안 업데이트와 모니터링을 강화해야 합니다. 보안은 한 번의 실수로도 큰 피해로 이어질 수 있으며, 특히 인증 불필요 취약점은 공격자에게는 너무나도 매력적인 표적이 됩니다. 지금 바로 플러그인을 업데이트하고, 로그를 검토하며, 보안 플러그인을 설치해 사이트의 보안을 강화하세요. 보안은 결코 미룰 수 있는 문제가 아닙니다.