불과 몇 달 전 패치가 나왔지만, 이를 외면한 대가는 참혹하다. 단순한 블로그 플랫폼으로 여겨졌던 오픈소스 CMS '고스트(Ghost)'가 올해 가장 공격적인 웹사이트 탈취 캠페인의 표적이 되었다. 해커들은 고스트의 치명적인 SQL 인젝션(SQL Injection, 데이터베이스 조작 공격) 취약점을 파고들어 전 세계 700여 개 사이트를 순식간에 악성코드 유포지로 만들었다 .
피해자 명단에는 아이비리그 대학 포털부터 개인정보 보호를 최우선으로 내세우는 검색 엔진까지 포함되어 있어 충격을 더한다. 지금 이 순간에도 믿었던 사이트에 접속하는 것만으로도 악성코드 감염 위험에 노출될 수 있다는 이야기다.
이번 사태의 핵심인 CVE-2026-26980은 CVSS(취약점 위험도 평가 체계)에서 9.4점이라는 치명적 점수를 받은 SQL 인젝션 취약점이다 . 문제는 고스트 CMS의 콘텐츠 API가
filter나 order 같은 쿼리 매개변수를 제대로 걸러내지 못한다는 점이다 .
공격자는 인증 절차 없이도 filter=slug:[...] 또는 order=slug:[...]와 같은 조작된 매개변수에 악성 SQL 명령어를 끼워 넣어 데이터베이스의 모든 테이블을 조용히 훔쳐볼 수 있다 . 여기서 유출될 수 있는 정보는 단순한 콘텐츠가 아니다. 관리자 API 키, bcrypt 방식으로 암호화된 비밀번호 해시값, 세션 비밀키 등 사이트의 핵심 통제권을 좌우하는 민감 데이터가 고스란히 노출된다
.
'관리자 API 키'는 사이트의 모든 게시물과 페이지를 생성·수정·삭제할 수 있는 만능 열쇠다. 이 열쇠만 손에 넣으면 해커는 사이트의 주인 행세를 할 수 있게 된다.
해당 취약점은 2026년 2월, 고스트 6.19.1 버전에서 조용히 수정되었다 . 하지만 수많은 운영자가 이 패치를 적용하지 않으면서, 해커들에게 사실상 '열린 문'을 내어준 셈이 되었다.
중국 보안 기업 치안신(Qianxin)의 XLab 위협 인텔리전스 팀이 2026년 5월 발견한 이 캠페인은 이미 700개가 넘는 도메인을 감염시켰다 . 감염이 확인된 주요 기관은 다음과 같다
.
더욱 우려스러운 점은 상황이 마치 '땅따먹기'처럼 돌아가고 있다는 사실이다. 연구진에 따르면, 최소 2개 이상의 경쟁 해킹 조직이 동일한 취약 사이트를 차지하기 위해 경쟁을 벌이고 있다. 한 조직이 악성코드를 심어 놓으면, 불과 몇 시간 후 다른 조직이 이를 덮어쓰는 식으로 서로 주도권을 다투는 사례도 관찰되었다 .
이 공격은 눈 깜짝할 사이에 이뤄지는 단순하지만 치명적인 3단계로 구성된다.
공격자들이 심어 놓은 악성 자바스크립트는 그 자체로 파괴적인 기능을 하지는 않는다. 대신, 외부 서버에서 진짜 공격 코드를 불러오는 2단계 로더 역할을 수행한다 . 현재까지 관찰된 최종 공격 페이로드(악성 데이터)는 다음과 같다.
공격이 데이터베이스 읽기와 콘텐츠 변조 두 단계로 진행되므로, 복구 작업 역시 근본적인 취약점 제거와 2차 피해 방지로 나누어 접근해야 한다.
slug 필터 매개변수가 사용된 흔적은 없는지, 게시물이 한꺼번에 대량 수정된 기록은 없는지 확인한다 패치는 빠르게 배포되지만, 진짜 문제는 현장에 적용되는 속도다. 이번 사태는 치명적인 CMS 취약점이 공개된 후 사라지는 게 아니라, 오히려 실제 공격자들의 손에 더 강력한 '탄약'으로 재탄생된다는 사실을 뼈저리게 보여준다.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
고스트 CMS의 치명적인 SQL 인젝션 취약점(CVE 2026 26980, CVSS 9.4점)이 대규모로 악용되어 관리자 API 키 탈취 및 악성 스크립트 주입 공격이 발생, 하버드대, 옥스퍼드대, 덕덕고 등 700개 이상의 웹사이트가 감염 되는 사태가 벌어졌다.
고스트 CMS의 치명적인 SQL 인젝션 취약점(CVE 2026 26980, CVSS 9.4점)이 대규모로 악용되어 관리자 API 키 탈취 및 악성 스크립트 주입 공격이 발생, 하버드대, 옥스퍼드대, 덕덕고 등 700개 이상의 웹사이트가 감염 되는 사태가 벌어졌다. 공격자들은 비인증 상태에서 데이터베이스를 읽은 후, 가짜 Cloudflare 확인 페이지를 주입하는 사회공학적 '클릭픽스' 수법 으로 방문자들이 직접 악성 명령어를 실행하도록 유도한다.
근본적인 해결을 위해 고스트 6.19.1 버전으로 즉시 업데이트 하고, 탈취 가능성이 있는 모든 관리자 API 키를 교체 해야 하며, 게시된 콘텐츠에서 악성 스크립트가 있는지 정밀 검토해야 한다.