Missed the action at the 2018 Chrome Dev Summit? Catch up with our playlist on the Google Chrome Developers channel on YouTube. Watch now.

스팸 발송자가 웹사이트를 해킹하는 방법

사이트가 어떻게 해킹당했는지 확인하는 것은 사이트를 공격으로부터 보호하기 위해 중요합니다. 이 도움말에서는 사이트 해킹을 초래할 수 있는 몇 가지 보안 취약성을 설명합니다.

해킹된 비밀번호

해커는 정확한 비밀번호를 찾아내기 위해 여러 비밀번호 추측 기법을 사용합니다. 비밀번호 추측 공격은 많이 쓰이는 비밀번호를 시도하거나 비밀번호를 찾아낼 때까지 임의의 문자와 숫자 조합을 대입하는 등 다양한 방법으로 이루어집니다. 이를 방지하려면 추측하기 어려운 안전한 비밀번호를 만드세요. Google 고객센터 도움말의 안전한 비밀번호를 만들기 위한 팁을 참조하세요.

두 가지 중요한 점을 기억해야 합니다. 첫째, 여러 서비스 간에 동일한 비밀번호를 사용하지 않아야 합니다. 해커는 사용자 이름과 비밀번호의 조합을 알아내게 되면 최대한 많은 서비스에서 이 사용자 이름과 비밀번호 조합을 사용하려고 시도합니다. 따라서 서비스마다 다른 비밀번호를 사용하면 다른 서비스의 다른 계정이 해킹되지 않도록 방지할 수 있습니다.

둘째, 사용 가능한 경우 Google 2단계 인증과 같은 2FA(2단계 인증)를 활용합니다. 2FA를 사용하면 일반적으로 해커가 훔친 비밀번호만으로는 계정에 액세스할 수 없는 문자 메시지 또는 기타 동적으로 생성된 PIN을 통해 로그인 사용자 인증 정보의 보안을 강화할 수 있습니다. 일부 CMS 제공업체는 2FA 구성에 관한 안내를 제공합니다. Joomla! , WordPress 또는 Drupal 문서를 참조하세요.

보안 업데이트 누락

소프트웨어의 버전이 오래될수록 위험성이 높은 보안 취약성이 포함되어 해커가 사이트 전체를 더 쉽게 해킹할 수 있습니다. 해커는 취약성이 있는 오래된 소프트웨어를 적극적으로 찾습니다. 사이트의 취약성을 무시하면 사이트가 해킹당할 확률이 증가합니다.

참고: 취약성을 패치하기 위해서는 사이트를 위한 소프트웨어 업데이트가 있는지 주기적으로 확인해야 합니다. 더 나아가 가능하면 소프트웨어 자동 업데이트를 설정하고 현재 실행 중인 소프트웨어의 보안 공지 목록에 등록하세요.

지속적으로 업데이트해야 하는 소프트웨어의 예는 다음과 같습니다.

  • 웹 서버 소프트웨어(자체 서버를 운영하는 경우)
  • 콘텐츠 관리 시스템. 예: Wordpress, DrupalJoomla!의 보안 릴리스
  • 사이트에서 사용하는 모든 플러그인 및 부가기능

안전하지 않은 테마 및 플러그인

CMS의 플러그인과 테마는 가치 있는 고급 기능을 추가합니다. 하지만 오래되거나 패치되지 않은 테마와 플러그인은 웹사이트 취약성의 주요 원인이 됩니다. 사이트에서 테마나 플러그인을 사용하는 경우 최신 상태로 유지하세요. 개발자가 더 이상 관리하지 않는 테마나 플러그인은 삭제하세요.

신뢰할 수 없는 사이트의 무료 플러그인이나 테마에 특히 주의하세요. 해커가 유료 플러그인이나 테마의 무료 버전에 악성 코드를 추가하는 것이 흔한 방법입니다. 플러그인을 삭제할 때는 사용 중지 대신 서버에서 모든 파일을 삭제해야 합니다.

소셜 엔지니어링

소셜 엔지니어링은 정교한 보안 인프라를 우회하기 위해 인간의 본성을 이용하는 것입니다. 이러한 유형의 공격은 권한이 있는 사용자를 속여 암호와 같은 기밀 정보를 제공하도록 합니다. 소셜 엔지니어링의 전형적인 형태로는 피싱이 있습니다. 피싱을 시도하는 해커는 합법적 조직을 사칭하여 이메일을 보내고 기밀 정보를 요청합니다.

참고: 소셜 엔지니어링에 대한 Google의 조사에 따르면 일부 효과적인 피싱 캠페인의 성공률은 45%에 달합니다.

요청자의 신원이 확실하지 않으면 민감한 정보(예: 비밀번호, 신용카드 번호, 은행 정보, 생년월일)를 제공하지 마세요. 여러 사람이 사이트를 관리하는 경우 소셜 엔지니어링 공격에 대한 보안 인식을 높이기 위한 교육을 제공하는 것을 고려해 보세요. Gmail 고객센터에 있는 기본 피싱 방지 팁을 참조하세요.

보안 정책의 허점

시스템 관리자이거나 자체 사이트를 운영하는 경우 보안 정책이 미흡하면 해커가 사이트를 해킹할 수 있습니다. 미흡한 보안 정책의 예는 다음과 같습니다.

  • 사용자가 취약한 비밀번호를 만들도록 허용
  • 필요하지 않은 사용자에게 관리 액세스 권한 부여
  • 사이트에서 HTTPS를 사용 설정하지 않고 사용자가 HTTP를 사용하여 로그인할 수 있도록 허용
  • 인증되지 않은 사용자의 파일 업로드 또는 유형을 검사하지 않는 파일 업로드 허용

사이트 보호를 위한 몇 가지 기본 팁입니다.

  • 불필요한 서비스를 사용 중지하여 높은 보안 제어 기능이 포함되도록 웹사이트를 구성합니다.
  • 액세스 제어 및 사용자 권한을 테스트합니다.
  • 로그인 페이지와 같이 민감한 정보를 처리하는 페이지의 경우 암호화를 사용합니다.
  • 의심스러운 활동이 있는지 정기적으로 로그를 확인합니다.

데이터 유출

기밀 데이터가 업로드되고 잘못된 설정으로 인해 업로드된 기밀 정보가 공개되는 경우 데이터 유출이 발생할 수 있습니다. 예를 들어 웹 애플리케이션의 오류 처리 및 메시지 전송 기능에 오류가 발생하면 오류 처리가 안 된 오류 메시지에서 구성 정보가 유출될 수 있습니다. 그러면 '도킹'이라는 방법을 사용하는 악의적인 행위자가 검색 엔진 기능을 활용하여 이 데이터를 찾을 수 있습니다.

주기적으로 확인하고 보안 정책을 통해 신뢰할 수 있는 대상에게만 기밀 데이터를 공개하여 사이트에서 승인되지 않은 사용자에게 민감한 정보를 유출하지 않도록 하세요. Google 검색결과에서 긴급히 삭제해야 하는 민감한 정보가 사이트에 표시되면 URL 삭제 도구를 사용하여 Google 검색에서 개별 URL을 삭제할 수 있습니다.