Ghost CMS 취약점 악용한 클릭픽스 공격, 700개 넘는 사이트 뚫림

• Ghost CMS 취약점을 악용한 대규모 ClickFix 공격이 포착됨

  • Ghost CMS는 블로그, 뉴스레터, 언론사 등에서 쓰이는 오픈소스 콘텐츠 관리 시스템(CMS)임
  • 공격자는 Ghost CMS 취약점으로 악성 JavaScript 코드를 주입하고, 방문자에게 ClickFix 공격을 유도한 것으로 알려짐

• 이번에 악용된 취약점은 콘텐츠 API의 SQL 인젝션 취약점인 CVE-2026-26980임

  • 중국 보안 업체 QiAnXin XLab에 따르면 이 취약점의 CVSS 점수는 9.4로 매우 높음
  • 인증되지 않은 공격자가 데이터베이스에서 임의 데이터를 읽을 수 있는 문제가 있음
  • 특히 관리자 API 키를 권한 없이 탈취할 수 있다는 점 때문에 치명적임

• 관리자 API 키가 털리면 단순 조회 취약점에서 끝나지 않음

  • 공격자는 CMS에 게시된 기사나 페이지를 대량 수정할 수 있음
  • 페이지 하단에 악성 JavaScript 로더를 주입해 가짜 CAPTCHA 공격을 띄울 수 있음
  • 정상 사이트를 방문한 사용자가 직접 명령어를 복사·붙여넣게 속이는 구조라 성공률이 올라감

• ClickFix는 요즘 피싱 트렌드 중에서도 꽤 성가신 방식임

  • 오류 팝업이나 보안 안내 화면처럼 꾸며 사용자가 직접 명령어를 실행하게 유도함
  • 사용자가 신뢰하는 정상 웹사이트가 이미 해킹된 상태라면 ‘수상한 사이트’라는 직감도 잘 안 먹힘

sequenceDiagram
    participant 공격자
    participant GhostCMS
    participant 관리자API
    participant 방문자
    participant 가짜CAPTCHA
    공격자->>GhostCMS: SQL 인젝션으로 데이터 조회
    GhostCMS-->>공격자: 관리자 API 키 노출
    공격자->>관리자API: 페이지 수정 요청
    관리자API-->>GhostCMS: 악성 JavaScript 주입
    방문자->>GhostCMS: 정상 사이트 방문
    GhostCMS-->>가짜CAPTCHA: 악성 로더 실행
    가짜CAPTCHA-->>방문자: 명령어 복사·붙여넣기 유도

• 패치는 이미 나왔지만, 미패치 사이트가 대량으로 당한 것으로 보임

  • 해당 취약점은 2026년 2월 Ghost CMS 6.19.1에서 패치됐다고 알려짐
  • 공격 징후는 5월 7일 처음 포착됐고, 최소 2개의 서로 다른 해커 조직이 연루된 것으로 추정됨
  • 현재까지 대학교, 블록체인, AI, SaaS, 보안 연구, 미디어, 핀테크 등 700개 이상의 웹사이트가 공격당한 것으로 집계됨

• 운영자 대응은 꽤 명확함

  • Ghost CMS 인스턴스를 최신 버전으로 업데이트해야 함
  • 모든 관리자 자격 증명, 비밀번호, API 키를 재설정해야 함
  • 사이트 내부 코드에서 주입된 악성 스크립트를 제거해야 함
  • 접근 로그를 감사하고, 침해 기간에 방문했을 가능성이 있는 사용자에게 해킹 가능성을 알려야 함

기술 맥락

• 이번 공격의 핵심은 SQL 인젝션이 관리자 API 키 탈취로 이어졌다는 점이에요. 데이터베이스 일부가 읽힌 수준이 아니라, CMS 관리 권한을 우회적으로 얻을 수 있었기 때문에 페이지 변조까지 가능해진 거예요.

• 공격자가 JavaScript 로더를 심은 이유는 사이트 방문자를 다음 단계 공격 대상으로 만들기 위해서예요. 정상 사이트에서 뜨는 CAPTCHA나 안내창은 사용자가 덜 의심하니까 ClickFix 같은 사회공학 기법과 궁합이 좋아요.

• Ghost CMS 운영자는 버전 업데이트만으로 사고 대응이 끝났다고 보면 위험해요. 이미 관리자 API 키가 노출됐을 수 있으니 키를 재발급하고, 기존 콘텐츠에 삽입된 스크립트가 남아 있는지 확인해야 해요.

• 방문자 공지가 필요한 이유도 여기에 있어요. 사이트 자체는 복구됐더라도 침해 기간에 방문자가 악성 안내를 봤다면, 사용자 단말 쪽 피해가 별도로 진행됐을 수 있거든요.