사이버 보안

방치된 홈페이지가 사이버 공격을 부른다 – 소규모 웹사이트 해킹의 현실과 사이버 보안

info-news2 2025. 7. 24. 12:28

아래 질문 중 하나라도 ‘예’라면, 당신의 사이트는 위험합니다

  • 지금 운영 중인 홈페이지가 워드프레스나 카페24로 만든 2년 전 사이트인가요?
  • 관리자 페이지 주소가 단순하게 /admin 또는 /login인가요?
  • 마지막 백업이 언제였는지 기억나지 않으시나요?

이 중 하나라도 해당된다면,
당신의 웹사이트는 이미 해커의 스캐닝 대상이 되어 있을 가능성이 높습니다.
특히 업데이트가 중단된 소규모 홈페이지는
지금 이 순간에도 봇에 의해 취약점이 자동 분석되고 있을 수 있습니다.

이 글에서는 해커들이 왜 ‘작은 사이트’를 노리는지,
실제 해킹 방식과 피해 사례,
그리고 관리자가 반드시 알아야 할 보안 수칙까지 단계별로 알아 보도록 하겠습니다.

 

해커들은 왜 대형 사이트가 아닌 ‘소규모 홈페이지’를 노릴까?

흔히들 해커는 대기업, 금융기관, 정부 웹사이트를 노릴 거라고 생각합니다.
하지만 현실은 정반대입니다.

소규모 웹사이트 해킹의 현실과 사이버 보안


대형 사이트는 보안이 단단하지만, 소규모 사이트는 대부분 무방비 상태이기 때문입니다.

해커들은 다음과 같은 이유로 중소형 홈페이지를 선호합니다:

이유                                                                                       설명
자동화 공격이 가능함 수천 개의 사이트를 스캔해 자동으로 취약점 공격
관리자 계정이 기본값으로 유지되는 경우 많음 admin / 1234 조합이 아직도 쓰이는 경우 다수
보안 업데이트가 안 됨 플러그인, CMS가 수년간 방치됨
공격해도 들키지 않음 트래픽 낮아 이상 탐지 어려움
감염 후 다른 공격에 활용 가능 피싱, 랜섬웨어 유포지로 변형 가능
 

즉, “중요하지 않기 때문에 위험한 웹사이트”가 되는 겁니다.

 

해킹은 이렇게 시작된다 – ‘3단계 경고 시스템’ 이해하기

해커는 사이트를 해킹하기 전에 여러 과정을 거칩니다.
대부분 자동화된 툴을 사용하며, 관리자는 이를 인식하지 못하는 경우가 많습니다.

1단계: 탐색 (Reconnaissance)

  • 해커는 자동화된 스캐너로 IP 대역, 호스팅 목록, 포트 열림 여부를 조사
  • /admin, /wp-login.php 등 관리자 페이지 주소가 노출되면 탐색 대상 확정
  • DNS, SSL 인증서 정보, 호스팅 종류까지 확인함

이 단계에서 대응 가능: 관리자 경로 숨기기, 디렉터리 인덱싱 차단

 

2단계: 취약점 분석 (Vulnerability Scanning)

  • CMS 종류(워드프레스, XE, 고도몰 등)를 식별한 후, 해당 버전의 알려진 취약점을 조회
  • 오래된 플러그인, 테마, PHP 버전까지 자동 스캔
  • 업로드 폴더 권한이 777로 설정되어 있다면 업로드 기반 악성코드 삽입 가능

이 단계에서 대응 가능: 정기적인 업데이트, 파일 권한 관리, 관리자 계정 강화

 

3단계: 침입 및 활용 (Exploitation)

  • 취약점이 발견되면, 백도어 설치 또는 웹셸 삽입
  • 이후 해당 사이트는 악성코드 유포지, 피싱 사이트, 디도스 중계서버 등으로 전환됨
  • 관리자도 모르게 해킹당한 상태가 장기화되면, 검색엔진에 블랙리스트 등록

이 단계에서는 대응이 늦습니다. 백업과 초기화 외엔 방법이 거의 없습니다.

 

“작은 웹사이트도 블랙리스트에 오릅니다”

🔹 사례 1: 1인 쇼핑몰 운영자 A씨

  • 카페24 기반의 워드프레스로 운영되던 쇼핑몰
  • 한 달간 주문이 줄어드는 현상이 지속
  • 검색 결과에 사이트가 “위험 사이트”로 표시되는 것을 발견
  • 원인은 업데이트되지 않은 쇼핑몰 테마 취약점이었고,
    해커가 백도어를 심어 다크웹 유도 페이지로 활용 중이었음

🔹 사례 2: 협동조합 홈페이지 관리자 B씨

  • XE 기반 커뮤니티형 홈페이지, 게시판 기능만 존재
  • 누군가 관리자 계정을 탈취해 게시판에 가짜 정부 공지 사칭 글을 다수 등록
  • 방문자 수가 급증했지만, 실제로는 피싱 링크 클릭 트래픽이었음

 

이런 사소한 실수가 해킹을 불러온다

실수                                                                                                위험
관리자 비밀번호가 admin / 1234 사전 대입 공격에 취약
FTP 계정이 그대로 노출 평문 접속 가능성
플러그인 2년째 업데이트 안 됨 알려진 취약점에 그대로 노출
SSL 미적용 또는 만료 통신 중간자 공격 위험
백업 없음 침해 후 복구 불가
 

 

홈페이지 보안을 위한 실천 수칙 7가지

1. 관리자 페이지 경로를 숨기세요

→ /admin, /wp-login 대신 커스텀 경로 설정 (예: /secure-login)

2. 플러그인, 테마, CMS를 주기적으로 업데이트

→ 최소 한 달에 한 번은 보안 패치 확인

3. 관리자 계정은 admin이 아닌 별도 이름으로

→ 이메일 계정과 비밀번호도 다르게 설정

4. 2단계 인증(2FA) 기능 적용

→ Wordfence, Loginizer 등 보안 플러그인 활용

5. 백업은 자동 + 수동 이중 체계

→ 주 1회 이상 백업, 로컬·클라우드 병행

6. 디렉터리 인덱싱 및 파일 권한 제한

→ .htaccess로 접근 차단, 폴더 권한은 755, 파일은 644 유지

7. 웹 방화벽(WAF) 적용 고려

→ Cloudflare, Sucuri 등을 통한 기본적인 웹 보안 구성

 

해커는 홈페이지가 ‘작기 때문에’ 노립니다

대부분의 웹사이트 해킹은 ‘중요해서’가 아니라, ‘쉬워서’ 일어납니다.
특히 중소형 홈페이지는 주기적인 점검이나 보안 인식이 부족한 경우가 많아
해커 입장에선 ‘자동화 공격의 최적 타깃’이 되는 셈입니다.

사이트를 만들고 나서 아무 조치도 하지 않고 방치해뒀다면,
지금 이 순간에도 누군가는 그 페이지를 탐색하고 있을 수 있습니다.
보안은 거창하지 않아도 됩니다.
기본적인 보안 조치만으로도 대부분의 공격은 막을 수 있습니다.