불법 도박·음란물 사이트 링크 몰래 삽입해 기업 신뢰도 치명타
침해된 관리자 계정 및 업데이트 누락된 CMS 확장 프로그램 악용

[보안뉴스 조재호 기자] 카스퍼스키가 기업 웹사이트를 노리는 ‘검색 엔진 최적화(SEO) 스팸’ 및 숨겨진 링크 삽입 공격을 경고했다. 기업의 디지털 신뢰도와 재무적 안정성을 훼손하는 심각한 위협으로, 검색 엔진과 보안 솔루션의 제재를 유발할 수 있어 방어가 필수적이다.


SEO는 검색 엔진에서 웹사이트 접근성을 효율적으로 높이는 유용한 전략이다. 그러나 최근 해커들이 정상 웹사이트를 해킹해 불법 도박이나 음란물 사이트로 연결하는 숨겨진 링크를 삽입하는 공격이 늘어나고 있다. 이러한 공격은 기업의 검색 순위와 신뢰도를 떨어뜨리고, 불법 콘텐츠 연결에 따른 법적 책임까지 떠안을 수 있다.

이러한 공격은 주로 침해된 관리자 계정이나 업데이트가 누락된 콘텐츠 관리 시스템(CMS)의 확장 프로그램, 서버 취약점을 통해 이뤄진다. 침투 이후 사이트의 HTML 코드를 직접 수정하거나 악성 스크립트를 삽입한다. 해커들은 공격 효과를 극대화하기 위해 트래픽이 높은 인기 블로그나 커뮤니티를 1차 표적으로 삼아 자신들이 목표로 한 불법 사이트의 검색 순위를 단번에 끌어올린다. 트래픽이 적은 영세 웹사이트도 예외는 아니다. 이들은 보안이 취약해 손쉬운 먹이감이 된다.

SEO 스팸의 가장 큰 문제는 은밀성이다. 방어 체계가 취약한 기업은 검색 엔진의 제재나 트래픽 감소 이전까지 침해 사실을 인지하지 못하는 경우가 대다수다. 심지어 보안 솔루션이 침해된 웹사이트를 금지해 정상 트래픽까지 차단하는 경우도 있다.

카스퍼스키는 웹사이트 보호를 위해 구글 서치 콘솔이나 오픈링크프로파일러 등 신뢰할 수 있는 도구를 활용해 소스코드를 정기 점검하고 △CMS 플랫폼 및 플러그인 업데이트 △이중인증(2FA) 기반의 강력한 비밀번호 △IP 주소 기반 관리자 패널 접근 제한 △웹 애플리케이션 방화벽(WAF) 구축 및 정기 백업 등의 보안 수칙을 지킬 것을 권고헀다.

안나 라르키나 카스퍼스키 웹 콘텐츠 및 개인정보 분석 전문가는 “SEO 스팸은 기업의 디지털 신뢰도와 재무적 안정성을 조용히 훼손하는 심각한 위협”이라며 “검색 엔진과 보안 솔루션의 제재를 유발할 수 있어 웹 사이트 관리자 패널과 CMS에 대한 적극적 방어가 필수”라고 말했다.

[조재호 기자(zephyr@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>