Ghost CMS CVE-2026-26980 취약점: 700개 사이트가 탈취된 ClickFix 공격의 전말
2026년 5월, 사이버보안 업계에 충격적인 소식이 전해졌습니다. 오픈소스 CMS인 Ghost CMS의 심각한 취약점이 악용되어, 하버드, 옥스퍼드, DuckDuckGo 등을 포함한 700개 이상의 도메인이 해킹당한 것입니다. 공격자들은 이 취약점을 통해 ClickFix 공격을 대규모로 펼쳤으며, 다크웹에서 판매되는 다양한 악성코드를 배포했습니다.
취약점의 개요: CVE-2026-26980
CVE-2026-26980은 Ghost CMS의 Content API에 존재하는 인증되지 않은 블라인드 SQL 인젝션 취약점입니다. 심각도 점수는 9.4/10으로, 거의 만점 수준의 치명적인 보안 결함입니다.
영향 범위:
• Ghost CMS 버전 3.24.0 ~ 6.19.0
• 전 세계 57,000개 이상의 웹사이트가 사용 중
• 2026년 2월 19일 최초 공개되었으며, 이후 패치 버전본(6.19.1)이 출시됨
이 취약점을 악용하면, 공격자는 데이터베이스에서 임의의 데이터를 읽을 수 있게 됩니다. 결과적으로 관리자 계정, 아티클, 테마, 그리고 공개 페이지에 대한 전체 제어 권한을 확보할 수 있습니다.
ClickFix란 무엇인가
ClickFix는 비교적 새로운 사이버 공격 기법으로, 다음과 같은 방식으로 작동합니다:
1. 가짜 경고 표시: 사용자에게 "컴퓨터에 문제가 있다"는위조된 경고를 보여줍니다
2. 위조된 해결책 제시: "문제를 해결하려면 여기를 클릭하세요"라는 버튼을 제공합니다
3. 악성코드 배포: 사용자가 클릭하면, 백도어, 랜섬웨어, 또는 다른 형태의 악성코드가 설치됩니다
이번 공격에서는 세 가지 유형의 악성코드가 확인되었습니다:
• DLL 로더: Windows 시스템에 침투하는 전통적인 방식
• JavaScript 드로퍼: 브라우저 기반 공격용 코드
• Electron 기반 악성코드: 크로스플랫폼 공격이 가능한신형 멀웨어
피해 현황: 유명 대학과 테크 기업까지
중국 보안 기업 Qianxin의 분석에 따르면, 700개 이상의 도메인이 이 공격에 의해 침해되었습니다. 피해 목록에는 다음과 같은 유명 사이트들이 포함되어 있습니다:
• 하버드 대학교 (Harvard University)
• 옥스퍼드 대학교 (Oxford University)
• Auburn 대학교
• DuckDuckGo
• 다수의 AI/SaaS 기업
• 미디어 및 핀테크 기업
공격의Timeline
| 시기 | 사건 |
|---|---|
| 2026년 2월 19일 | CVE-2026-26980 취약점 최초 공개 |
| 2026년 2월 중순 | Ghost CMS 6.19.1 패치 버전 출시 |
| 2026년 5월 | 700개 이상 도메인 침해 확인, ClickFix 공격 본격화 |
핵심 문제: 취약점은 2026년 2월에 패치되었음에도 불구하고, 많은 Ghost CMS 관리자들이 업데이트를 적용하지 않아 현재까지도 공격에 노출되어 있습니다.
대처 방안: 지금 해야 할 일
1. 즉시 업그레이드
Ghost CMS 관리자라면, 버전 6.19.1 이상으로 즉시 업그레이드하세요. 현재 최신 버전을 확인하고 적용하는 것이 가장 중요한 첫걸음입니다.
2. 관리자 API 로그 분석
지난 30일간의 관리자 API 호출 로그를 확인하여, 의심스러운 활동이 있었는지 점검하세요. SQL 인젝션 공격은 보통 조용히 데이터베이스에 접근하므로, 로그에서 이상나 패턴을 발견하기 어려울 수 있습니다.
3. 보안 스캐닝 도구 활용
자신의 Ghost CMS 사이트가 취약한 버전인지 확인하려면, 다음 명령어로 버전본 정보를 확인하세요:
# Ghost CMS 버전 확인 (SSH 접속 후)cd /your-ghost-directoryghost version# 또는 관리자 대시보드에서 버전 확인# Settings > About Ghost 메뉴에서 현재 버전 확인 가능4. 외부 보안 스캐닝
관리자 페이지 접근이 가능하다면, OWASP ZAP이나 Nessus 같은 도구로 취약점 스캔을 실행하세요.
개발자를 위한교훈
이번 공격은 오픈소스 소프트웨어의 보안 패치 관리의 중요성을 다시 한번 상기시켜 줍니다. 특히 CMS처럼 공개적으로 노출되는 플랫폼은 취약점이 발견되면 공격자들에게 즉시표적이 됩니다.
실제로 있었던 일:
• 취약점은 2026년 2월에 공개 + 패치됨
• 그러나 3개월이 지난 5월에도 700개 이상의 사이트가 여전히 취약 상태였음
• 이 시간 동안 공격자들은 완벽하게 준비된 공격 캠페인을 실행할 수 있었습니다
요약
Ghost CMS CVE-2026-26980은엄중영향한 SQL 인젝션 취약점으로, 700개 이상의 도메인이 침해당한 것으로 확인됩니다. 공격자들는 ClickFix 기법을 통해 다양한 형태의 악성코드를 배포했으며, 피해 사이트에는 하버드, 옥스퍼드, DuckDuckGo와 같은 유명 기관도 포함되어 있습니다.
지금 즉시 해야 할 것:
1. Ghost CMS를 최신 버전본(6.19.1 이상)으로 업그레이드
2. 관리자 API 로그에서 의심스러운 활동 점검
3. 향후 유사 취약점에 대해서는 패치 적용 시간을 최소화하는 것이 목표
오픈소스 CMS를 사용하고 있다면, 항상 최신 버전 유지와 함께 침입 탐지 시스템을 운영하여 불필요한 피해를 예방하시기 바랍니다.
📚 출처
• The Hacker News: Ghost CMS CVE-2026-26980
• TechRadar: Ghost CMS flaw hijacked to target hundreds of websites
• Cybersecuritynews: Hackers Exploit Ghost CMS CVE-2026-26980
• Security Affairs: Ghost CMS flaw abused to push ClickFix attacks
📚 출처
'자동화&툴 리뷰' 카테고리의 다른 글
| DynIP – RFC 2136, IPv6, DNSSEC, BYOD를 지원하는 동적 DNS 완벽 가이드 (0) | 2026.05.29 |
|---|---|
| 네덜란드, 사이버공격 지원 혐의로 서버 800대 압수하고 2명 체포 (0) | 2026.05.28 |
| 커밋에서 광고하지 마세요 — 무료 홍보가 아닌 기술적 정보를 우선해야 하는 이유 (0) | 2026.05.28 |
| Microsoft 보고서, AI가 인간 직원 고용보다 더 비싸다고 밝혀 (0) | 2026.05.26 |
| 모든 카드에서 병렬 에이전트를 실행하는 오픈소스 Kanban 데스크톱 앱 (0) | 2026.05.26 |