칼리 리눅스에서의 워드프레스 로그인 공격 시뮬레이션: 현실적인 보안 검증 가이드 + 방어 엔지니어링

워드프레스 사이트는 로그인 계층을 끊임없이 타깃으로 삼고 있습니다. 그 이유는 간단합니다. 인증은 보편적인 초크 포인트이기 때문입니다. wp-login.php 수백만 개의 배포에서 예측할 수 있습니다. 공격자가 인증정보 스터핑, 비밀번호 스프레이, 분산 추측 등 대규모로 자동화할 때 중요한 것은 사이트가 공격당할지 여부가 아니라 방어가 실제 압박을 견딜 수 있도록 설계되어 있는지 여부입니다.

이 가이드는 다음 사용자를 위해 만들어졌습니다. 인증된 보안 유효성 검사 그리고 방어 엔지니어링. 현실적인 공격자 행동을 안전하게 모델링하는 방법, 복원력을 측정하는 방법, 효과적이고 관찰 가능하며 운영적으로 지속 가능한 방식으로 워드프레스 인증을 강화하는 방법에 중점을 둡니다.

"실제와 같은 워드프레스 로그인 공격"은 어떤 모습일까요?

로그인 시 시작되는 대부분의 워드프레스 침해는 이색적인 취약점에 의존하지 않습니다. 그들은 경제성에 의존합니다:

자격 증명 스터핑: 공격자는 이전 침해 사고에서 유출된 사용자 이름/비밀번호 쌍을 재생하여 비밀번호 재사용에 베팅합니다.

비밀번호 스프레이: 공격자는 잠금을 피하기 위해 여러 계정에 걸쳐 작은 공통 비밀번호 세트를 시도합니다.

분산 추측: 기본 속도 제한을 우회하려는 시도가 여러 IP와 시간대에 걸쳐 분산되어 있습니다.

가용성 압박: 공격자의 목표는 액세스를 소모하는 PHP 작업자나 데이터베이스 연결이 아니라 다운타임일 수 있습니다.

가장 중요한 인사이트는 하나의 IP에서 발생하는 '시끄러운 무차별 대입 공격'이 가장 현실적인 위협이 아니라는 점입니다. 실제 캠페인은 저율, 분산, 지속성을 특징으로 하는 경우가 많습니다.

워드프레스 인증 공격 표면: wp-login.php 그리고 xmlrpc.php

wp-login.php 는 기본 대화형 로그인 엔드포인트입니다. 계정 탈취와 DoS 스타일의 압박을 모두 대상으로 합니다.

xmlrpc.php 레거시 통합 및 원격 게시를 위해 존재합니다. 이 기능을 열어두면 봇이 인증과 상호 작용하는 방식이 확장되고 추가적인 자동화 채널로 악용될 수 있습니다.

사이트에 XML-RPC가 꼭 필요하지 않은 경우, 이를 제거하거나 엄격하게 게이팅하는 것이 노출을 가장 효과적으로 줄일 수 있는 방법 중 하나입니다.

안전하고 허가된 시뮬레이션: 생산에 영향을 주지 않고 테스트할 수 있는 항목

현실적인 시뮬레이션은 세 가지 속성으로 정의됩니다:

바운드: 테스트에는 속도 제한, 시간 창 및 중지 조건이 있습니다.

측정 가능: 에지 블록, 오리진 로드, 오류율, 지연 시간 및 인증 이벤트를 기록합니다.

대표: 시나리오는 "빠른/잡음" 및 "느린/분산" 패턴을 모두 모델링합니다.

목표는 "침입"하는 것이 아닙니다. 목표는 증거를 통해 이러한 진술을 검증하는 것입니다:

1. 대부분의 적대적인 트래픽은 PHP에 도달하기 전에 차단되거나 스로틀링됩니다.
2. 정상 사용자는 압박 중에도 로그인할 수 있습니다.
3. 로그는 조사 및 대응에 필요한 충분한 컨텍스트를 캡처합니다.
4. 하나의 잘못된 구성(플러그인, 엔드포인트, WAF 우회)으로 인해 전체 방어 체계가 무너지는 일은 없습니다.

Kali Linux는 일반적으로 인증된 테스트 워크플로를 실행하기 위한 보안 워크스테이션으로 사용되지만, 운영 체제는 방어 엔지니어링 및 측정이 아닙니다.

실제 위험을 반영하는 테스트 환경 구축

의미 있는 테스트를 하려면 프로덕션과 유사한 스택이 필요합니다:

• 동일한 호스팅 모델(NGINX/Apache, PHP-FPM 동작, 캐싱)
• 동일한 엣지 레이어(CDN/WAF/봇 규칙)
• 인증에 영향을 미치는 동일한 중요 플러그인 및 테마 경로
• 동일한 인증 구성(MFA, 잠금, 사용자 역할, 관리자 경로)

사용 테스트 계정만 해당를 현실적인 역할로 구현했습니다:

• 관리자 테스트 사용자
• 에디터 테스트 사용자
• 구독자 테스트 사용자

이를 통해 보안 제어와 폭발 반경을 모두 검증할 수 있습니다.

우선 계측: 신뢰할 수 있는 결과를 제공하는 원격 분석

시뮬레이션을 시작하기 전에 이러한 원격 분석 소스가 존재하는지 확인하세요:

엣지/CDN/WAF 원격 분석

• 경로별 볼륨 요청(/wp-login.php, /xmlrpc.php)
• 차단/도전 조치 및 이유
• 상위 소스 IP/ASN 및 국가
• 봇 점수 또는 평판 분포(사용 가능한 경우)

오리진 원격 분석

• 응답 코드(200/302/403/429/5xx)
• 지연 시간 및 테일 레이턴시(p95/p99)
• PHP 워커 사용률 및 포화도
• 데이터베이스 연결 압력(해당되는 경우)

애플리케이션 원격 분석

• 타임스탬프, 사용자 이름 시도, IP/포워딩된 IP, 사용자 에이전트가 포함된 로그인 실패/성공 횟수
• 잠금 이벤트 및 챌린지 트리거
• 예기치 않은 역할 변경 또는 새 관리자 사용자 만들기

이러한 가시성이 없으면 '보안 테스트'는 엔지니어링이 아닌 스토리텔링이 됩니다.

현실적인 테스트 계획: 공격자 행동을 반영한 시나리오

강력한 검증 계획은 도구 기반이 아닌 시나리오 기반입니다.

시나리오 A: 기본 상태

정상적인 로그인 지연 시간 및 정상적인 동작 시 리소스 사용량을 기록합니다. 이것이 기준점입니다.

시나리오 B: 시끄러운 봇 웨이브(가용성 스트레스)

짧은 시간 동안 급증하는 로그인 트래픽을 시뮬레이션합니다. 성공 기준:

• 엣지 블록/챌린지 급격히 증가
• 오리진 부하가 안정적으로 유지됨
• 지속적인 5xx 오류 없음
• 합법적인 로그인은 계속 가능합니다.

시나리오 C: 낮고 느린 분산 압력

시간이 지남에 따라 지속적이고 적당한 비율의 시도가 확산되는 것을 시뮬레이션합니다. 성공 기준:

• 실제 사용자에게 피해를 주지 않고 속도 제한/백오프를 적용합니다.
• 인증 로그는 다음과 같은 패턴을 명확하게 보여줍니다.
• '급증'뿐만 아니라 비정상적인 로그인 실패 기준선에서도 알림이 트리거됩니다.

시나리오 D: 공격받는 UX

압력을 받는 동안에는 정상적인 로그인 및 비밀번호 재설정을 실행하세요. 성공 기준:

• 실제 사용자가 인증할 수 있습니다.
• 잠금 정책은 셀프-DoS를 생성하지 않습니다.
• 도전 과제는 보편적으로 표시되지 않고 (봇에 대해) 선택적으로 표시됩니다.

방어 엔지니어링: 실제 공격에도 견딜 수 있는 계층화된 컨트롤

효과적인 워드프레스 로그인 방어는 계층화되어 있습니다. 각 계층은 각기 다른 역할을 수행하므로 각 계층을 측정해야 합니다.

계층 1: 신원 강화(모든 시도가 성공할 확률 감소)

다단계 인증(MFA) 는 모든 권한 있는 사용자에 대한 가장 강력한 자격 증명 재사용 방지 제어 수단입니다. 비밀번호가 유출된 경우, MFA는 대부분의 '비밀번호 전용' 탈취 시도가 인시던트로 이어지는 것을 방지합니다.

추가 ID 제어:

• 관리자 계정 수 줄이기
• 오래된 계정 제거
• 강력하고 고유한 비밀번호 적용(비밀번호 관리자 정책)
• 최소 권한 적용(편집자는 관리자가 아니며, 관리자가 어디에나 있는 것은 아닙니다)

계층 2: 애플리케이션 제어(봇 속도 저하, 공격자 피드백 감소)

애플리케이션 계층은 사용성을 유지하면서 자동화된 처리량을 줄여야 합니다:

• 사용자 아이디의 존재 여부를 알 수 없는 일관된 로그인 오류 사용
• 길고 단단한 잠금보다 점진적인 백오프와 일시적인 스로틀을 선호합니다.
• 트래픽이 자동화된 것처럼 보일 때 조건부로 챌린지(캡차/봇 챌린지)를 트리거합니다.
• 열거 또는 스팸에 악용되지 않도록 비밀번호 재설정 플로우를 주의 깊게 관리하세요.

레이어 3: 표면 감소(xmlrpc.php 및 기타 불필요한 노출)

XML-RPC가 필요하지 않은 경우 비활성화합니다.

필요한 경우 게이트를 설정합니다:

• 가능한 경우 신뢰할 수 있는 출처만 허용
• 적극적인 요금 제한
• 요청 기준선을 다음과 별도로 모니터링합니다. wp-login.php

표면 감소는 "모호함을 통한 보안"이 아닙니다. 불필요한 공격 경로를 제거하는 것입니다.

계층 4: 인프라 제어(PHP 및 데이터베이스 보호)

가장 저렴한 레이어가 가장 많은 트래픽을 차단해야 합니다.

• 엣지에서의 자동화를 차단하거나 도전하는 CDN/WAF/봇 관리
• PHP 작업자 피로를 방지하기 위한 오리진 웹 서버 속도 제한
• 캐싱 및 연결 튜닝을 통한 가용성 안정 유지

일반적인 실패 모드는 적대적인 트래픽이 PHP에 도달하도록 허용한 다음 워드프레스 플러그인만으로 '수정'하려고 하는 것입니다. 이는 비용이 많이 들고 규모에 취약합니다.

서버 측 속도 제한: 가용성 안전망

엣지 보호가 있더라도 오리진 전송률 제한은 우회 시나리오가 다운타임으로 이어지는 것을 방지하기 때문에 필수적입니다.

올바른 목표는 '모든 것을 차단'하는 것이 아니라 '모든 것을 허용'하는 것입니다:

• 인증 엔드포인트에 대한 비정상적인 요청 비율 제한
• PHP-FPM 워커 풀 보호
• 합법적인 사용자에게 피해를 주지 않기

착한 요금 제한에는 세 가지 특성이 있습니다:

• 사용자의 기준선에 맞춰 조정됩니다.
• 다음에 대한 별도의 규칙이 있습니다. /wp-login.php 그리고 /xmlrpc.php
• 관찰 가능(언제, 왜 트리거되는지 확인할 수 있음)

시그니처 전용 사고보다 성능이 뛰어난 탐지 신호

로그인 공격은 개별 이벤트가 아닌 패턴으로 나타나는 경우가 많습니다.

높은 신호 지표는 다음과 같습니다:

• 기준선 대비 로그인 실패 건수의 지속적인 증가율
• 행동 특성을 공유하는 여러 계정으로 확산되는 시도
• 비정상적인 지역/시간대 편차
• 인증 엔드포인트에 대한 높아진 엣지 과제
• 인증 압박 중 꼬리 지연 시간 및 PHP 작업자 포화도 증가

단일 IP 차단만으로는 충분하지 않습니다. 상관관계는 노이즈와 인텔리전스의 차이입니다.

인시던트 대응: 압박이 이벤트가 되었을 때 해야 할 일

인증 압력이 감지되면 일관되고 신속하게 응답해야 합니다:

1. 오리진 상태(지연 시간, 오류율, 작업자 포화도)를 확인합니다.
2. 인증 엔드포인트에 대한 엣지 제어를 강화합니다(챌린지 임계값, 속도 제한 상향).
3. PHP를 보호하기 위해 필요한 경우 더 엄격한 오리진 스로틀을 적용하세요.
4. 침해가 의심되는 경우:
   • 관리자 사용자 및 역할 감사
   • 자격 증명 순환 및 MFA 적용
   • 플러그인/테마 변경 사항 검토
   • 예기치 않은 아웃바운드 연결 또는 파일 변경 사항 확인
5. 사고 후 검토: 증거에 따라 임계값, 규칙 및 로깅 필드를 업데이트합니다.

목표는 단순한 복구가 아니라 시스템을 개선하여 다음에 같은 패턴이 발생할 때 더 저렴하게 처리할 수 있도록 하는 것입니다.

엔지니어처럼 의견보다 증거에 기반하여 결과를 보고하는 방법

유용한 보고서에는 다음이 포함됩니다:

• 실행되는 시나리오 및 기간
• 트래픽 형태(버스트 대 지속, 단일 소스 대 분산)
• 엣지 결과: 차단/도전 비율, 상위 타겟 엔드포인트, 이유
• 오리진 결과: 지연 시간(p95/p99), 작업자 활용도, 오류율
• 애플리케이션 결과: 인증 실패/성공, 잠금 동작
• UX 결과: 정상적인 로그인이 원활하게 유지되었는지 여부
• 갭: 트래픽이 도달한 위치, 트리거되지 않은 항목, 조정해야 할 항목

대부분의 적대적인 트래픽이 PHP 이전에 차단되고 오리진이 안정적으로 유지되며 정상적인 사용자가 로그인할 수 있다면 시스템은 복원력이 있습니다. 인증 압박으로 인해 작업자가 포화 상태가 되거나 5xx 오류가 발생하면 계정이 손상되지 않았더라도 가용성이 위험에 처하게 됩니다.

결론

워드프레스 로그인 방어는 하나의 플러그인이나 하나의 규칙이 아닙니다. 자동화를 견디고, 사용성을 유지하며, 가용성을 보호하고, 압박이 발생했을 때 명확한 가시성을 제공하도록 설계된 계층화된 시스템입니다.

현실적인 시뮬레이션을 통해 시스템이 분산 트래픽, 저속 및 저속 시도, 지속적인 프로빙 등 실제 공격자의 경제학에 견딜 수 있는지 여부를 증명합니다. 그런 다음 방어 엔지니어링을 통해 이러한 결과를 구체적인 제어로 전환합니다: 권한 있는 사용자를 위한 MFA, 신중한 스로틀링 및 챌린지, 표면 노출 감소(특히 불필요한 경우 XML-RPC), 강력한 엣지 보호, 오리진 속도 제한, 실행 가능한 원격 측정 등이 있습니다.

이러한 계층이 함께 작동하면 워드프레스 인증이 손상되기 훨씬 어려워지고 다운타임의 원인이 될 가능성이 훨씬 낮아집니다.