9가지 일반적인 웹사이트 보안 위협(및 대응 방법)
게시 됨: 2023-10-25불편을 끼쳐드려 죄송합니다. 귀하의 웹사이트는 안전하지 않습니다. 그것은 반드시 당신이 한 일 때문이 아니라 단순히 인터넷의 어떤 것도 완전히 안전하지 않기 때문입니다. 모든 웹사이트는 웹사이트를 폐쇄하거나 손상시키거나 그보다 더 심각한 보안 위협에 직면해 있습니다.
그것은 나쁜 소식입니다. 희망적인 점은 이러한 위협에 대처하기 위해 할 수 있는 일이 많다는 것입니다. 첫 번째 단계는 이러한 위협이 존재한다는 것을 인식하는 것입니다. 결국, 위험을 초래할 수 있다고 알고 있는 것으로부터만 자신을 보호할 수 있습니다.
이를 정확하게 수행하는 데 도움이 되도록 이 문서에서는 WordPress 및 그 이상에 대한 일반적인 웹 사이트 보안 위협에 대해 설명합니다. 위협이 무엇인지, 어떻게 작동하는지, 위협이 발생하지 않도록 방지하려면 어떻게 해야 하는지에 대해 이야기하겠습니다. 이 책을 다 읽고 나면 WordPress 웹사이트를 안전하게 보호하고 위험으로부터 벗어날 수 있다는 느낌을 받아 정말로 중요한 일에 집중할 수 있기를 바랍니다.
웹사이트 보안 위협에 관심을 갖는 이유는 무엇입니까?
당신이 가질 수 있는 첫 번째 반응은 이것이 당신과 관련이 있는지 자문하는 것입니다. 물론, 이러한 빅데이터 침해 및 해킹에 대해 자주 듣게 되지만, 이런 일은 대개 대기업에서만 발생하지 않나요? 아시다시피 Facebook, Twitter, Equifaxes 및 Yahoos는 훔칠 가치가 있는 정보를 보유한 기업입니다.
거품을 터뜨려서 죄송합니다. 하지만 귀하가 백만 달러 규모의 회사가 아니라는 이유만으로 귀하의 웹사이트를 무너뜨리거나 침해하는 데 관심이 있는 개인이 여전히 많이 있습니다.
글로벌 사이버 공격은 2022년 한 해에만 38% 증가했으며, 2019년 Verizon 보고서에 따르면 중소기업이 1위 표적이었으며 전체 데이터 침해의 43%를 차지했습니다. 사이버 공격의 피해자가 되면 이들 기업은 평균 25,000달러의 비용을 지불하게 됩니다. 실제로 FBI에 따르면 2022년 사이버 범죄 피해액은 미국에서만 102억 달러에 달했습니다.
그러나 공격을 처리하고 제거하는 데 드는 직접적인 비용만 문제가 되는 것은 아닙니다. 또한 고객 이탈, 다운타임, 업무 중단, 고객 간 신뢰 상실, 검색 엔진 차단 등의 비용을 지불하게 됩니다.
따라서 작은 웹사이트라도 표적이 될 수 있습니다. 특히 대부분의 공격은 무언가를 발견할 때까지 웹에서 취약점을 검색하는 프로그램에 의해 자동으로 시작되기 때문입니다. 그래서, 만약 당신이 그들에게 기회를 남겨준다면, 누군가는 그것을 이용하려고 할 것입니다.
자신을 보호하는 방법을 알고 싶으십니까? 가장 일반적인 보안 위협 중 일부를 살펴보겠습니다.
웹사이트 보안 위협 #1: 피싱
출처: 앤드류 레빈
피싱은 해커가 사용자를 악성 웹사이트에 방문하게 하거나, 위험한 링크를 클릭하게 하거나, 오염된 첨부 파일을 다운로드하거나, 웹사이트 로그인과 같은 민감한 정보를 제공하도록 유도하는 것을 의미합니다. 대부분은 합법적인 출처에서 보낸 것처럼 가장하는 이메일 형태로 발생하지만 문자 메시지, 메신저 앱 또는 가짜 소셜 로그인 페이지를 통해 피싱 메시지를 받을 수도 있습니다.
피싱의 잠재적 위험
피싱을 통해 로그인 정보를 얻으면 공격자가 많은 시간을 절약할 수 있습니다. 추측하고 무차별 공격을 가해 사이트에 침입하는 대신 확실히 작동하는 자격 증명을 사용하기만 하면 됩니다.
이를 통해 특히 자격 증명에 높은 사용자 권한이 제공되는 경우 웹 사이트를 자유롭게 통치할 수 있습니다. 그들은 새로운 사용자를 생성하고, 콘텐츠와 링크를 추가하고, 파일을 조작하고, 백도어를 생성하고, 심지어 코드를 실행할 수도 있습니다. 또한 온라인 상점의 고객 데이터와 같이 사이트에 민감한 정보가 저장되어 있는 경우 해커도 해당 정보에 액세스할 수 있습니다.
물론, 이런 일이 발생하여 공개된다면 귀하의 평판에 큰 타격을 줄 것입니다. 또한 귀하가 운영하고 있는 개인 정보 보호법에 따라 추가 벌금이 부과될 수 있습니다.
그것을 다루는 방법
피싱 공격을 예방하는 가장 좋은 방법은 피싱 공격에 대한 인식을 높이는 것입니다. 민감한 정보를 요청하는 메시지를 받으면 즉시 일시 중지해야 합니다. 아무것도 다시 보내지 말고, 링크를 클릭하지 말고, 첨부 파일을 다운로드하여 실행하지 마십시오. 최소한 보낸 사람의 이메일 주소가 합법적인지 확인하세요. 또한 피싱 전략에 대해 스스로 교육하고 회사의 다른 사람들에게도 동일한 조치를 취하십시오.
출처 : Techopedia
웹사이트 보안 위협 #2: (D)DoS 공격
DoS는 "서비스 거부"를 의미하며, 누군가가 귀하의 웹 사이트에 불법적인 트래픽을 넘쳐나게 하여 웹 사이트를 폐쇄하려고 시도하는 경우를 말합니다. 목표는 요청으로 서버를 압도하여 더 이상 대처할 수 없고 작동을 멈추는 것입니다.
DoS 공격은 봇넷을 통해 수행되는 경우가 많습니다. 즉, 컴퓨터에 바이러스나 트로이 목마가 침투하여 해커가 원격으로 명령을 내릴 수 있다는 의미입니다. 이 경우 "분산 서비스 거부" 또는 DDoS에 대해서도 언급합니다.
출처: Everaldo Coelho 및 YellowIcon / LGPL
이러한 종류의 공격은 기업이나 웹사이트에 피해를 주거나 금전을 요구하기 위한 협박입니다. 또한 공격자가 문제의 웹사이트가 의미하는 바에 동의하지 않거나 기업이 공개적으로 발표한 내용에 동의하지 않기 때문에 이념적인 이유로 수행되기도 합니다. 그러나 다른 경우에는 해커가 사이트에 침입하려고 하는 동안 DDoS 공격을 우회하여 사용자의 주의를 분산시킬 수도 있습니다.
결과는 무엇입니까?
DDoS 공격으로 인해 문제의 웹사이트가 응답하지 않고 실제 고객과 방문자가 액세스할 수 없게 됩니다. 서버는 방문을 적절하게 처리하기 위해 할 일이 너무 많고 합법적인 방문자에 대해서는 매우 느리게 로드되거나 전혀 로드되지 않습니다.
물론 대부분의 기업에서 웹사이트는 주요 자산 중 하나입니다. 도달할 수 없게 되면 비즈니스와 수익의 손실로 이어집니다. DDoS 공격은 일부 방문자가 귀하의 웹 사이트 품질이 좋지 않다고 생각하기 때문에 귀하의 평판을 손상시킬 수도 있습니다.
DDoS 공격을 방지하는 방법
이러한 종류의 웹사이트 위협에 대응하는 가장 좋은 방법 중 하나는 방화벽이나 웹 애플리케이션 방화벽의 형태로 또 다른 보안 계층을 추가하는 것입니다. 이는 악성 트래픽이 귀하의 사이트에 도달하기 전에 필터링하도록 설계되었습니다. 이렇게 하면 공격이 웹 사이트에 도달하지도 않고 피해를 입힐 수도 없습니다. 또한 DDoS 공격이 단지 침입을 방해하는 것일 경우 방화벽은 이에 대한 보호 기능도 제공합니다. 여기에 좋은 공급자는 Sucuri와 Cloudflare입니다.
출처: Cloudflare
이 웹사이트 보안 위협으로부터 자신을 보호하기 위한 또 다른 좋은 투자는 콘텐츠 전송 네트워크 또는 CDN입니다. 사이트의 복사본을 다른 서버에 배치하므로 웹에서 완전히 제거하기가 더 어려워집니다. 또한 메인 서버로부터의 공격을 막을 수도 있습니다. 많은 CDN에는 DDoS 보호 기능이 포함되어 있습니다.
WP 엔진에서 웹사이트를 호스팅하는 경우 Global Edge Security를 사용하면 이 두 가지 방법을 동시에 활용할 수 있습니다. 관리형 웹 애플리케이션 방화벽, 고급 DDoS 보호 및 글로벌 CDN을 포함하는 엔터프라이즈급 성능 및 보안 추가 기능입니다. 즉, 외부 보안 위협을 차단하는 데 필요한 모든 것입니다.
게다가 손이 많이 안가네요. 계획에 추가하고 DNS 레코드를 올바른 서버로 지정하기만 하면 나머지는 자동으로 처리됩니다. 쉬워요. 마지막으로 UptimeRobot 등을 사용하여 가동 시간 모니터링을 설정하는 것이 좋습니다. 이렇게 하면 사이트에 더 이상 접속할 수 없을 때 신속하게 알림을 받을 수 있으므로 즉시 조치를 취할 수 있습니다.
웹사이트 보안 위협 #3: 무차별 대입 공격 및 크리덴셜 스터핑
무차별 대입 공격은 사이트의 일부를 자동으로 공격한다는 점에서 DDoS 공격과 다소 유사합니다. 그러나 그들은 트래픽을 차단하는 대신 귀하의 로그인 페이지를 타겟팅하고 귀하의 로그인 정보를 추측하여 웹사이트에 액세스하려고 시도합니다. 이런 종류의 프로그램은 침입할 때까지 초당 다양한 일반 비밀번호와 사용자 이름 조합을 시도합니다.
좀 더 정교한 변형이 소위 크리덴셜 스터핑입니다. 여기서 공격자는 임의의 로그인 정보 대신 다른 데이터 침해 사례에서 이미 알려진 이메일/비밀번호 조합을 사용합니다. 이러한 공격은 많은 사람들이 자신의 로그인 정보를 재사용한다는 사실을 이용합니다.
공격자가 로그인 자격 증명을 성공적으로 추측하는 경우 결과는 "피싱" 섹션에서 설명한 것과 거의 동일합니다.
로그인 공격 억제
로그인 페이지에 대한 공격으로부터 자신을 보호할 수 있는 방법에는 여러 가지가 있습니다.
- 로그인 시도를 제한하고 너무 자주 실패하는 사용자를 잠급니다(예: 로그인 시도 다시 로드 제한).
- 자격 증명을 재사용하지 말고 소유한 모든 계정에 대해 개별 비밀번호를 사용하세요.
- WordPress 사이트의 사용자 수를 제한하고 업무에 필요한 만큼만 기능을 제공하세요.
- 예를 들어 암호 정책 관리자를 통해 강력한 암호를 강제합니다.
- 더 나은 방법은 다단계 인증을 사용하는 것입니다.
- 공격자가 WordPress 대시보드 내부에서 파일을 조작할 수 없도록 테마 및 플러그인 편집기를 끄세요.
웹사이트 보안 위협 #4: 크로스 사이트 스크립팅(XSS)
크로스 사이트 스크립팅에서는 해커가 웹사이트를 속여 피해자의 브라우저에 악성 스크립트를 전달합니다. 소스 때문에 브라우저는 스크립트를 신뢰하고 실행합니다. 이는 연락처 양식과 같은 입력 필드를 통해 발생하는 경우가 많습니다. 그러나 공격은 손상된 웹 사이트의 데이터베이스에서 발생할 수도 있습니다.
가능한 결과
성공하면 공격자는 교차 사이트 스크립팅을 사용하여 로그인 데이터를 도용하고, 악성 코드를 설치하고, 사용자를 다른 사이트로 리디렉션하고, 보고 있는 페이지를 조작할 수도 있습니다. 또한 그들은 다른 사용자로서 문제의 웹사이트에 접속하여 자신의 데이터를 읽을 수도 있습니다. 게다가 피해자의 컴퓨터에 소프트웨어를 설치할 수도 있습니다.
크레딧: Michel Bakni
전반적으로 크로스 사이트 스크립팅은 사이트 자체보다 방문자에게 더 위험합니다. 그러나 그것이 귀하의 웹 존재에서 비롯된 것이라면 당연히 이것은 귀하에게 좋은 빛을 비춰주지 않을 것입니다. 따라서 사이트를 안전하게 만드는 것은 귀하 자신과 방문자의 책임입니다.
XSS 공격을 방지하는 방법
기술적인 측면에서 교차 사이트 스크립팅을 방지하는 가장 중요한 단계는 데이터 입력을 삭제하고 유효성을 검사하는 것입니다. 이는 코드 삽입을 피하기 위해 특수 문자와 기호를 거부하는 것을 의미합니다. 예를 들어 입력에 스크립트, 개체 또는 링크와 같은 항목이 포함될 수 없도록 해야 합니다. PHP 및 JavaScript와 같은 프로그래밍 언어는 이를 위한 표준 기능을 제공하며 WordPress에도 이 목적을 위한 자체 마크업이 있습니다.
개발자가 아닌 경우, 귀하의 역할은 이러한 규칙을 준수하지 않는 사이트에서 코드를 멀리하기 위해 올바른 판단을 내리는 것입니다. 즉, 평판이 좋은 소스에서 테마와 플러그인을 얻고 이들이 잘 지원되고 유지관리되는지 확인하세요. 또한 사이트에 이해하지 못하는 코드 조각을 설치하지 마세요.
웹사이트 보안 위협 #5: SQL 주입
SQL 주입은 교차 사이트 스크립팅과 유사합니다. 또한 입력 필드를 사용하여 웹 사이트에서 악성 SQL 코드를 실행하고 데이터베이스에 액세스하는 방식으로 작동합니다.
귀하의 웹 사이트가 SQL 주입에 취약한 경우 공격자는 이 기술을 사용하여 여러 가지 방법으로 웹 사이트를 손상시킬 수 있습니다.
- 관리자 권한으로 새 ID를 만들고 사이트에 액세스하세요.
- 서버의 모든 데이터에 직접 액세스
- 데이터베이스를 파괴/수정하여 사용할 수 없게 만듭니다.
물론 그 어느 것도 좋은 소식은 아닙니다.
SQL 주입 방해
이 웹 사이트 보안 위협에는 크로스 사이트 스크립팅과 유사한 경계가 필요합니다. 데이터 입력을 삭제, 필터링, 이스케이프 및 검증하고 기밀 정보를 암호화하십시오. 많은 웹 프레임워크는 이 작업을 자동으로 수행합니다.
개발자가 아닌 경우 WordPress 및 해당 구성 요소를 최신 상태로 유지하고 WordPress 보안 플러그인을 사용하세요. 이들 중 다수는 SQL 주입을 방지하는 기능을 갖추고 있습니다. 이 주제에 대한 자세한 정보는 전용 WP 엔진 기사에서 확인할 수 있습니다.
웹사이트 보안 위협 #6: 랜섬웨어/훼손
랜섬웨어는 웹 사이트나 기타 비즈니스 자산에 대한 액세스를 차단하고 공격자에게 돈을 지불해야만 다시 잠금을 해제하는 소프트웨어 유형입니다. 때로는 심지어 지불하지 않는 경우도 있습니다.
훼손은 웹 사이트의 디자인이나 콘텐츠를 엉망으로 만들거나 해킹에 성공했다는 메시지를 남긴다는 점에서 비슷합니다.
각각의 경우에 누군가가 어떻게든 귀하의 사이트에 액세스하게 되었으며, 이로 인해 다음과 같은 부정적인 결과가 초래될 수 있습니다.
- 몸값 비용(지불할 경우 비용이 많이 들 수 있음)
- 청소 비용
- 판매 손실 및 평판 손실
- 업무를 수행할 수 없어 직원 생산성 손실
- 차단 목록으로 인해 검색 엔진 순위 감소
자신을 보호하는 방법
랜섬웨어 및 훼손 공격을 방지하는 방법은 이 가이드에 언급된 다른 모범 사례를 따라 웹사이트와 서버에 대한 액세스를 차단하는 것입니다. 로그인 정보를 안전하게 유지하고, 사이트를 업데이트하고, 사이트의 이전 버전으로 돌아갈 수 있도록 백업 솔루션을 마련하세요.
웹사이트 보안 위협 #7: 악성 코드 및 스파이웨어
이는 웹사이트 자체에는 큰 위험이 아니지만 귀하의 사이트에 발생할 수 있는 일입니다. 공격자가 이에 액세스하면 방문자의 컴퓨터를 감염시키는 맬웨어 및 스파이웨어를 설치할 수 있습니다. 손상된 웹사이트는 결국 해커의 계획을 추진하는 수단으로 작용하게 됩니다.
무슨 일이 일어날 수 있나요?
악성 코드는 귀하의 평판에 큰 위험을 초래합니다. 브라우저나 바이러스 백신 프로그램이 이를 감지하면 방문자가 귀하의 사이트에 액세스하는 것을 차단합니다.
게다가 검색 엔진은 사용자에게 해를 끼치는 웹사이트로 사용자를 보내는 것을 원하지 않기 때문에 귀하를 차단 목록에 추가하고 색인에서 귀하를 제거할 수 있습니다.
물론, 둘 다 엄청난 트래픽 손실을 초래할 수 있으며, 문제를 해결한 후에도 차단 목록에서 벗어나는 것이 때로는 어렵습니다. 트래픽이 없으면 수익도 없고, 리드도 없고, 고객도 없고, 비즈니스도 없습니다.
맬웨어 감염 예방
다시 한 번, 이 가이드에 언급된 방법을 따라 사이트에서 다른 웹사이트 보안 위협을 차단하세요. 특히, 강력한 자격 증명과 다단계 인증을 사용하고, 웹 사이트 구성 요소를 최신 상태로 유지하고, 사이트에 설치하는 항목에 대해 주의를 기울이십시오.
또한 바이러스 백신 소프트웨어를 사용하여 자신의 컴퓨터를 깨끗하게 유지하고 Sucuri Sitecheck 등을 통해 웹사이트에서 악성 코드가 있는지 정기적으로 검사하십시오.
웹사이트 보안 위협 #8: 중간자 공격
이러한 종류의 공격은 트래픽에 암호화를 사용하지 않는 웹사이트에서 흔히 발생합니다. 여기에서 공격자는 보호되지 않은 데이터를 가로채서 로그인, 결제 또는 기타 민감한 정보에 접근할 수 있습니다. 중간자 공격은 보안되지 않은 Wi-Fi 네트워크에서도 발생합니다.
자신을 보호하는 방법
웹사이트에서 이 위협에 대응하는 가장 좋은 방법은 암호화를 사용하는 것입니다. 사이트에 TLS/SSL 프로토콜을 설치하고 이를 HTTPS로 전환하세요. 이는 사이트와 방문자 브라우저 간에 전송되는 모든 정보를 자동으로 암호화하여 중간자 공격이 성공하지 못하도록 방지합니다.
또한 강력한 비밀번호를 사용하고 기본 자격 증명을 변경하여 직장과 집 Wi-Fi를 보호하세요. 그리고 공용 Wi-Fi를 사용할 때는 특히 주의하세요. VPN을 사용하여 트래픽을 보호하고 꼭 필요한 경우에만 공용 Wi-Fi에서 사이트에 로그인하세요.
웹사이트 보안 위협 #9: 공급망 공격
공급망 공격은 공격자가 타사 소프트웨어를 통해 웹사이트에 침투하는 것입니다. 예를 들어, 누군가가 많은 웹사이트와 통합되는 SaaS 제품을 해킹한 다음 그 과정에서 해당 사이트에 대한 액세스 권한을 얻는 경우가 있습니다.
우리는 최근 몇 년 동안 WordPress에서 공급망 공격을 목격했습니다. 어떤 경우에는 공격자가 의도적으로 악성 코드로 플러그인을 스파이크했습니다. 또 다른 경우에는 동일한 작업을 수행하기 위해 WordPress 확장 프로그램의 배포 서버에 침입했습니다.
대부분의 경우 이러한 공격은 신속하게 발견되었으며 문제의 플러그인은 금지되거나 패치되었습니다. 그러나 여전히 알아야 할 사항입니다.
예방하는 방법
공급망 공격을 방지하는 가장 좋은 방법은 웹 사이트에서 플러그인 및 타사 코드 사용에 대한 모범 사례를 따르는 것입니다.
- 플러그인 및 테마와 같은 확장 기능에는 평판이 좋은 소스만 사용하세요.
- 통합을 최소한으로 유지하고 꼭 필요한 것만 설치하세요.
- 모든 제3자 자료가 여전히 관련이 있는지 정기적으로 사이트를 감사하세요.
- 활동 로그를 사용하여 사이트에서 발생하는 의심스러운 행동을 찾아보세요.
웹사이트 위협을 차단하세요
보안 위협은 모든 웹사이트 소유자가 직면해야 하는 문제입니다. 인터넷을 통한 운영이 안타까운 현실입니다. 다행히도 몇 가지 상식적인 모범 사례를 구현하면 이러한 문제 중 상당수를 예방할 수 있습니다.
- 받은 메시지, 클릭한 링크, 다운로드한 첨부 파일에 주의하세요.
- 방화벽, CDN 및 가동 시간 모니터링에 투자하세요.
- 강력한 비밀번호를 사용하고, 사용자 기능과 로그인 시도를 제한하고, 다단계 인증을 설정하세요.
- 사이트에 있는 플러그인과 테마의 양을 최소화하고 합법적인 소스에서 가져오도록 하세요.
- 개발자로서 데이터를 정리하고 검증하세요.
- 귀하의 웹사이트와 그에 속한 모든 것을 최신 상태로 유지하세요
- HTTPS를 사용하여 웹사이트 트래픽을 암호화하세요.
- 문제가 발생할 경우를 대비해 백업 솔루션을 마련하세요.
- 보안되지 않은 네트워크에 민감한 정보를 입력하지 마세요
이를 준수하면 대부분의 일반적인 웹사이트 보안 위협으로부터 자신을 보호하기에 충분합니다. 경계하세요!
보안 위협으로부터 웹사이트를 보호하기 위해 어떤 다른 방법을 권장하시나요? 아래 댓글에서 여러분의 생각을 공유해 주세요!