스팸 발송자가 사이트를 해킹하는 주요 방법

향후 공격으로부터 사이트를 보호하려면 사이트가 해킹당한 방식을 파악하는 것이 중요합니다. 이 문서에서는 사이트가 해킹당할 수 있는 몇 가지 보안 취약점을 다룹니다.

다음 동영상에서는 해킹 유형과 해커가 사이트를 제어하는 방법을 간략하게 설명합니다.

해킹된 비밀번호

공격자는 올바른 비밀번호를 추측할 때까지 여러 비밀번호를 추측하여 비밀번호를 알아낼 수 있습니다. 비밀번호 추측 공격은 일반적인 비밀번호를 시도하거나 문자와 숫자의 임의 조합을 스캔하는 등의 방법을 사용합니다. 이를 방지하려면 추측하기 어려운 강력한 비밀번호를 만드세요. 안전한 비밀번호를 만드는 방법에 관한 도움말은 Google 고객센터 도움말을 참고하세요.

다음 두 가지 사항을 기억하세요.

  1. 여러 서비스에서 비밀번호를 재사용하지 마세요. 공격자는 작동하는 사용자 이름과 비밀번호 조합을 파악하면 가능한 한 많은 서비스에서 사용자 인증 정보를 시도합니다. 고유한 비밀번호를 사용하여 다른 계정이 해킹당하지 않도록 하세요.
  2. Google 2단계 인증과 같은 2단계 인증 (2FA)을 사용하세요. 2FA는 문자 메시지 코드 또는 동적으로 생성된 PIN을 통해 사용자 인증 정보의 두 번째 레이어를 추가하여 공격자가 계정에 액세스하지 못하도록 합니다. 일부 CMS 제공업체는 2FA 구성에 관한 안내를 제공합니다.

보안 업데이트 누락

이전 소프트웨어 버전에는 공격자가 전체 사이트를 해킹할 수 있는 고위험 보안 취약점이 있을 수 있습니다. 공격자는 취약점이 있는 오래된 소프트웨어를 적극적으로 찾습니다. 취약점을 무시하면 공격 위험이 증가합니다.

예를 들면 다음과 같습니다.

  • 웹 서버 소프트웨어 (자체 서버를 호스팅하는 경우)
  • 콘텐츠 관리 시스템 (CMS) 예를 들어 Wordpress, Drupal, 및 Joomla!의 보안 출시
  • 사이트에서 사용하는 모든 플러그인 및 부가기능

안전하지 않은 테마 및 플러그인

CMS 플러그인과 테마는 유용한 기능을 추가합니다. 하지만 오래되었거나 패치가 적용되지 않은 테마와 플러그인은 주요 취약점입니다. 테마와 플러그인을 최신 상태로 유지하세요. 더 이상 유지보수되지 않는 테마 또는 플러그인을 삭제하세요.

신뢰할 수 없는 사이트의 무료 플러그인이나 테마에 특히 주의하세요. 공격자가 유료 플러그인 또는 테마의 무료 버전에 악성 코드를 추가하는 것은 일반적인 전술입니다. 플러그인을 삭제할 때는 사용 중지하는 대신 서버에서 모든 파일을 삭제해야 합니다.

소셜 엔지니어링

소셜 엔지니어링 은 인간의 본성을 악용하여 보안을 우회합니다. 이러한 공격은 사용자를 속여 비밀번호와 같은 기밀 정보를 제공하도록 유도합니다. 일반적인 소셜 엔지니어링 형태 중 하나는 피싱입니다. 피싱 시도에서 공격자는 합법적인 조직인 척하는 이메일을 보내 기밀 정보를 요청합니다.

요청자의 신원을 확실히 알지 못하는 한 민감한 정보 (예: 비밀번호, 신용카드 번호, 은행 정보, 생년월일)를 공유하지 마세요. 여러 사용자가 사이트를 관리하는 경우 소셜 엔지니어링에 관한 인식을 높이기 위한 교육을 제공하세요. 기본적인 피싱 방지 팁은 Gmail 고객센터를 참고하세요.

보안 정책의 허점

시스템 관리자이거나 자체 사이트를 호스팅하는 경우 보안 정책이 허술하면 공격자가 사이트를 해킹할 수 있습니다. 예를 들면 다음과 같습니다.

  • 사용자가 취약한 비밀번호를 만들 수 있도록 허용
  • 관리 액세스 권한이 필요하지 않은 사용자에게 관리 액세스 권한 부여
  • HTTPS를 사용 설정하지 않고 사용자가 HTTP를 사용하여 로그인하도록 허용
  • 인증되지 않은 사용자의 파일 업로드를 유형 확인 없이 허용

다음은 사이트를 보호하는 데 도움이 되는 몇 가지 팁입니다.

  • 불필요한 서비스를 사용 중지하여 높은 보안 제어로 웹사이트를 구성합니다.
  • 액세스 제어 및 사용자 권한을 테스트합니다.
  • 로그인 페이지와 같이 민감한 정보를 처리하는 페이지에 암호화를 사용합니다.
  • 로그를 정기적으로 확인하여 의심스러운 활동이 있는지 확인합니다.

데이터 유출

데이터 유출은 기밀 데이터가 업로드되고 공개적으로 사용할 수 있도록 잘못 구성될 때 발생합니다. 예를 들어 웹 애플리케이션 오류 메시지는 구성 정보를 유출할 수 있습니다. 악의적인 행위자는 "도킹"이라는 방법을 사용하여 검색엔진 기능을 악용하여 이 데이터를 찾을 수 있습니다.

정기적인 검사를 실시하고 기밀 데이터를 제한하여 사이트에서 민감한 정보가 공개되지 않도록 하세요. Google 검색에서 긴급하게 삭제해야 하는 민감한 정보가 사이트에 있는 경우 URL 삭제 도구를 사용하세요.