--- title: "Ghost CMS 취약점 악용한 클릭픽스 공격, 700개 넘는 사이트 뚫림" published: 2026-05-25T14:05:03.013Z canonical: https://jeff.news/article/3244 --- # Ghost CMS 취약점 악용한 클릭픽스 공격, 700개 넘는 사이트 뚫림 Ghost CMS의 심각한 SQL 인젝션 취약점 CVE-2026-26980을 악용한 대규모 클릭픽스 공격이 포착됐어. 공격자는 관리자 API 키를 탈취해 정상 사이트 페이지에 악성 JavaScript 로더를 심고, 방문자에게 가짜 CAPTCHA와 명령어 복사·붙여넣기를 유도한 것으로 알려짐. - Ghost CMS 취약점을 악용한 대규모 ClickFix 공격이 포착됨 - Ghost CMS는 블로그, 뉴스레터, 언론사 등에서 쓰이는 오픈소스 콘텐츠 관리 시스템(CMS)임 - 공격자는 Ghost CMS 취약점으로 악성 JavaScript 코드를 주입하고, 방문자에게 ClickFix 공격을 유도한 것으로 알려짐 - 이번에 악용된 취약점은 콘텐츠 API의 SQL 인젝션 취약점인 CVE-2026-26980임 - 중국 보안 업체 QiAnXin XLab에 따르면 이 취약점의 CVSS 점수는 9.4로 매우 높음 - 인증되지 않은 공격자가 데이터베이스에서 임의 데이터를 읽을 수 있는 문제가 있음 - 특히 관리자 API 키를 권한 없이 탈취할 수 있다는 점 때문에 치명적임 > [!WARNING] > Ghost CMS를 운영 중이면 패치 여부만 확인하고 끝내면 안 됨. 관리자 비밀번호와 API 키 재설정, 악성 스크립트 제거, 접근 로그 감사까지 같이 가야 함. - 관리자 API 키가 털리면 단순 조회 취약점에서 끝나지 않음 - 공격자는 CMS에 게시된 기사나 페이지를 대량 수정할 수 있음 - 페이지 하단에 악성 JavaScript 로더를 주입해 가짜 CAPTCHA 공격을 띄울 수 있음 - 정상 사이트를 방문한 사용자가 직접 명령어를 복사·붙여넣게 속이는 구조라 성공률이 올라감 - ClickFix는 요즘 피싱 트렌드 중에서도 꽤 성가신 방식임 - 오류 팝업이나 보안 안내 화면처럼 꾸며 사용자가 직접 명령어를 실행하게 유도함 - 사용자가 신뢰하는 정상 웹사이트가 이미 해킹된 상태라면 ‘수상한 사이트’라는 직감도 잘 안 먹힘 ```mermaid sequenceDiagram participant 공격자 participant GhostCMS participant 관리자API participant 방문자 participant 가짜CAPTCHA 공격자->>GhostCMS: SQL 인젝션으로 데이터 조회 GhostCMS-->>공격자: 관리자 API 키 노출 공격자->>관리자API: 페이지 수정 요청 관리자API-->>GhostCMS: 악성 JavaScript 주입 방문자->>GhostCMS: 정상 사이트 방문 GhostCMS-->>가짜CAPTCHA: 악성 로더 실행 가짜CAPTCHA-->>방문자: 명령어 복사·붙여넣기 유도 ``` - 패치는 이미 나왔지만, 미패치 사이트가 대량으로 당한 것으로 보임 - 해당 취약점은 2026년 2월 Ghost CMS 6.19.1에서 패치됐다고 알려짐 - 공격 징후는 5월 7일 처음 포착됐고, 최소 2개의 서로 다른 해커 조직이 연루된 것으로 추정됨 - 현재까지 대학교, 블록체인, AI, SaaS, 보안 연구, 미디어, 핀테크 등 700개 이상의 웹사이트가 공격당한 것으로 집계됨 - 운영자 대응은 꽤 명확함 - Ghost CMS 인스턴스를 최신 버전으로 업데이트해야 함 - 모든 관리자 자격 증명, 비밀번호, API 키를 재설정해야 함 - 사이트 내부 코드에서 주입된 악성 스크립트를 제거해야 함 - 접근 로그를 감사하고, 침해 기간에 방문했을 가능성이 있는 사용자에게 해킹 가능성을 알려야 함 --- ## 기술 맥락 - 이번 공격의 핵심은 SQL 인젝션이 관리자 API 키 탈취로 이어졌다는 점이에요. 데이터베이스 일부가 읽힌 수준이 아니라, CMS 관리 권한을 우회적으로 얻을 수 있었기 때문에 페이지 변조까지 가능해진 거예요. - 공격자가 JavaScript 로더를 심은 이유는 사이트 방문자를 다음 단계 공격 대상으로 만들기 위해서예요. 정상 사이트에서 뜨는 CAPTCHA나 안내창은 사용자가 덜 의심하니까 ClickFix 같은 사회공학 기법과 궁합이 좋아요. - Ghost CMS 운영자는 버전 업데이트만으로 사고 대응이 끝났다고 보면 위험해요. 이미 관리자 API 키가 노출됐을 수 있으니 키를 재발급하고, 기존 콘텐츠에 삽입된 스크립트가 남아 있는지 확인해야 해요. - 방문자 공지가 필요한 이유도 여기에 있어요. 사이트 자체는 복구됐더라도 침해 기간에 방문자가 악성 안내를 봤다면, 사용자 단말 쪽 피해가 별도로 진행됐을 수 있거든요. ## 핵심 포인트 - Ghost CMS 콘텐츠 API의 SQL 인젝션 취약점 CVE-2026-26980은 CVSS 9.4로 평가됨 - 공격자는 관리자 API 키를 탈취해 페이지 하단에 악성 JavaScript 로더를 주입할 수 있음 - 대학교, 블록체인, AI, SaaS, 보안 연구, 미디어, 핀테크 등 700개 이상 사이트가 영향권에 들어감 ## 인사이트 ClickFix는 사용자가 ‘직접 실행하게 만드는’ 피싱이라 보안 솔루션만 믿기 어렵다는 게 무서운 점임. Ghost CMS 운영자는 패치만으로 끝내지 말고 API 키 재발급, 삽입 스크립트 점검, 방문자 공지까지 사고 대응 플로우로 봐야 해.