이 글에서 배울 수 있는 것

  • 소규모 사이트가 해커의 표적이 되는 진짜 이유
  • SSL 인증서 설정 확인과 흔한 오류 해결법
  • 워드프레스·관리자 계정 보안 강화 방법
  • 비용 없이 실행 가능한 정기 백업 전략
  • 해킹 의심 신호를 발견했을 때 대응 절차

① 왜 소규모 사이트가 더 위험한가

"우리는 작은 사이트라 해커가 노릴 이유가 없다"는 생각이 가장 위험한 착각입니다. 실제 공격의 대부분은 특정 사이트를 노리는 것이 아니라, 자동화된 봇이 인터넷 전체를 스캔하며 취약점이 있는 사이트를 무작위로 찾아내는 방식입니다.

해커가 작은 사이트를 노리는 이유

  • 보안 담당자가 없음 — 업데이트·점검이 방치되어 취약점이 오래 남아있음
  • 오래된 CMS·플러그인 — 워드프레스 등 구버전에 알려진 취약점이 많음
  • 발견까지 시간이 오래 걸림 — 트래픽 모니터링을 안 하면 몇 달간 해킹 사실조차 모름
  • 스팸·피싱 발판으로 활용 — 사이트 자체보다 서버 자원과 도메인 신뢰도를 노림

핵심 포인트

보안은 "공격받을 가능성이 있는가"가 아니라 "공격은 반드시 시도되며, 얼마나 쉽게 막아내는가"의 문제입니다. 아래 체크리스트의 80%는 비용 없이, 1시간 내로 점검 가능합니다.

② SSL 인증서 점검

SSL은 사용자와 서버 간 통신을 암호화해 중간에서 정보를 가로채는 것을 막습니다. 2026년 기준 SSL 미적용 사이트는 모든 브라우저에서 "안전하지 않음" 경고가 표시되며, 구글도 SSL 적용을 검색 순위 요소로 반영합니다.

점검 방법

  1. 주소창에 사이트 접속 후 자물쇠 아이콘이 정상 표시되는지 확인
  2. 모든 페이지가 https://로 시작하는지 (일부 페이지만 http로 남아있는 "혼합 콘텐츠" 오류 점검)
  3. SSL Labs 같은 무료 도구로 인증서 등급(A~F) 확인
  4. 인증서 만료일 확인 — 자동 갱신 설정이 안 되어 있으면 만료 시 사이트 전체 접속 불가

흔한 SSL 오류와 해결법

오류원인해결법
혼합 콘텐츠 경고이미지·스크립트 일부가 http로 호출됨모든 리소스 URL을 https로 통일
인증서 만료 알림자동 갱신 미설정Let's Encrypt 자동 갱신 또는 호스팅사 SSL 자동연장 확인
HTTP로 자동 리다이렉트 안 됨www·HTTPS 강제 리다이렉트 미설정.htaccess 또는 호스팅 설정에서 강제 HTTPS 적용

③ 계정·접근 보안

관리자 계정 보안 강화

  • 2단계 인증(2FA) 필수 적용 — 관리자, 호스팅, 도메인 등록업체 계정 모두
  • 관리자 계정명을 admin 같은 추측 가능한 이름에서 변경
  • 비밀번호는 최소 12자 이상, 다른 사이트와 절대 재사용 금지
  • 퇴사한 직원·외주업체의 접근 권한은 작업 종료 즉시 회수

로그인 시도 제한

워드프레스 등 CMS는 무작위로 비밀번호를 대입하는 브루트포스 공격의 표적이 됩니다. 로그인 실패 횟수를 제한하는 플러그인(Wordfence, Limit Login Attempts 등)을 설치하면 자동화된 공격을 효과적으로 차단할 수 있습니다.

FTP·호스팅 접근 보안

  • FTP는 평문 전송이라 가능하면 SFTP(암호화된 FTP)로 전환
  • 호스팅 관리자 패널 비밀번호도 정기적으로 변경
  • 불필요한 FTP·DB 계정은 삭제, 사용 중인 계정만 유지

④ 해킹·악성코드 방지

CMS·플러그인 최신 버전 유지

워드프레스·플러그인·테마의 보안 업데이트는 대부분 이미 발견된 취약점을 막기 위한 패치입니다. 업데이트를 미루는 시간이 길어질수록 공격에 노출되는 기간도 길어집니다.

⚠️ 가장 흔한 침해 경로

실제 워드프레스 해킹 사례의 대다수는 오래된 플러그인·테마의 알려진 취약점을 통해 발생합니다. 사용하지 않는 플러그인은 비활성화가 아니라 완전히 삭제하세요.

보안 플러그인·방화벽 적용

  • 워드프레스: Wordfence, Sucuri 같은 보안 플러그인으로 실시간 모니터링
  • WAF(웹 방화벽): Cloudflare 무료 플랜만으로도 기본적인 DDoS·악성 트래픽 차단 가능
  • 관리자 페이지(/wp-admin 등) 접근을 특정 IP로 제한 (고정 IP 사용 시)

정기 악성코드 스캔

월 1회 이상 보안 플러그인의 악성코드 스캔 기능을 실행하거나, Sucuri SiteCheck 같은 무료 외부 점검 도구로 사이트를 점검하세요.

⑤ 백업 전략

해킹·서버 장애·실수로 인한 삭제는 언제든 발생할 수 있습니다. 백업이 있으면 "복구"의 문제가 되지만, 백업이 없으면 "처음부터 다시 만드는" 문제가 됩니다.

백업 3원칙

원칙내용
주기업데이트 빈도에 맞춰 매일~매주 자동 백업
분리 저장백업 파일을 원본 서버가 아닌 별도 위치(클라우드 등)에 저장
복원 테스트최소 분기 1회, 실제로 복원이 되는지 테스트

백업 방법

  • 워드프레스: UpdraftPlus, BackWPup 등 무료 플러그인으로 자동화
  • 호스팅사 자체 백업: 카페24·고도몰 등은 자동 백업 기능 제공 — 활성화 여부 확인 필요
  • 수동 백업: DB 덤프 + 전체 파일을 FTP로 다운로드, 클라우드 스토리지에 보관

백업만큼 중요한 것: 복원 테스트

백업 파일이 있어도 실제로 복원이 안 되는 경우가 의외로 많습니다. 백업을 설정했다면 반드시 한 번은 테스트 환경에서 복원을 시도해 정상 작동하는지 확인하세요.

⑥ 해킹 의심 신호와 대응 절차

주요 의심 신호

  • 구글 검색 결과에 "이 사이트가 해킹되었을 수 있습니다" 경고 표시
  • 사이트 방문 시 모르는 광고·팝업이 자동으로 뜸
  • 알 수 없는 페이지·게시물이 자동 생성됨 (스팸 링크 페이지 등)
  • Search Console에서 '보안 문제' 알림 수신
  • 갑작스러운 서버 트래픽·리소스 사용량 급증

해킹 발견 시 대응 절차

  1. 즉시 모든 관리자 계정 비밀번호 변경 (호스팅, CMS, FTP 전체)
  2. 최근 정상 시점의 백업 파일 확인
  3. 보안 플러그인 또는 호스팅사 지원팀을 통해 악성 파일 스캔·제거
  4. 모든 플러그인·테마·CMS를 최신 버전으로 업데이트
  5. Search Console에서 '보안 문제' 해결 후 재검토 요청 제출
  6. 재발 방지를 위해 2FA·로그인 제한·정기 백업 체계 재점검

⑦ 웹사이트 보안 실전 체크리스트

  • ☐ SSL 인증서 정상 적용 및 자동 갱신 설정 확인
  • ☐ 모든 페이지 https 통일, 혼합 콘텐츠 경고 제거
  • ☐ 관리자 계정 2단계 인증(2FA) 적용
  • ☐ 추측 가능한 관리자 계정명(admin 등) 변경
  • ☐ 로그인 시도 제한 플러그인·기능 적용
  • ☐ CMS·플러그인·테마 최신 버전 유지, 미사용 플러그인 삭제
  • ☐ 보안 플러그인 또는 WAF(Cloudflare 등) 적용
  • ☐ 월 1회 악성코드 스캔 실행
  • ☐ 정기 자동 백업 설정 + 별도 저장소 보관
  • ☐ 분기 1회 백업 복원 테스트
  • ☐ Google Search Console '보안 문제' 알림 주기적 확인

⑧ 자주 묻는 질문 (FAQ)

홈페이지가 해킹당하면 SEO에도 영향이 있나요?

네, 큰 영향이 있습니다. 구글은 해킹된 사이트(악성코드 삽입, 스팸 콘텐츠 주입 등)를 발견하면 검색 결과에 "이 사이트가 해킹되었을 수 있습니다"라는 경고를 표시하거나 색인에서 제외합니다. 한 번 이런 경고가 붙으면 사용자 신뢰도가 급격히 떨어지고, 문제를 해결하고 구글에 재검토를 요청해도 회복까지 수 주가 걸릴 수 있습니다.

SSL 인증서는 무료와 유료 중 어떤 것을 써야 하나요?

일반 기업 소개 사이트나 블로그라면 Let's Encrypt 같은 무료 SSL 인증서로 충분합니다. 암호화 강도 자체는 무료와 유료가 동일합니다. 다만 결제·회원 정보를 다루는 쇼핑몰이나 금융 관련 사이트는 신뢰성 표시(녹색 주소창, 사업자 검증 등)가 포함된 유료 EV/OV 인증서를 고려할 수 있습니다.

백업은 얼마나 자주 해야 하나요?

콘텐츠 업데이트 빈도에 따라 다릅니다. 블로그를 매일 발행하는 사이트는 일일 자동 백업이 안전하고, 변경이 적은 정적 기업 소개 사이트는 주 1회로도 충분합니다. 핵심은 백업 주기보다 "백업이 실제로 복원 가능한지 정기적으로 테스트하는 것"입니다. 백업 파일은 최소 3개 이상의 시점을 보관하고, 가능하면 호스팅 서버 외부에도 별도 저장하는 것이 안전합니다.

관련 인사이트

무료 진단

내 사이트의 SSL·보안 설정 상태를 지금 점검해보세요

URL 하나로 SEO·HTTPS·구조화 데이터 현황을 30초 안에 확인할 수 있습니다.

무료 사이트 진단 시작 →