사이트가 해킹당하면 검색 순위는 어떻게 무너지나
콘텐츠와 백링크가 아무리 좋아도 보안 사고 한 번에 트래픽이 사라집니다. Google이 어떤 신호로 사이트를 강등·차단하는지, 어디서부터 회복이 시작되는지 정리합니다.
- SEO
- 보안 사고
- Google Safe Browsing
검색 순위를 무너뜨리는 가장 빠른 길은 콘텐츠 품질이나 백링크 손상이 아니라 보안 사고입니다. 한 번 해킹되면 Google은 사이트의 신뢰도를 다섯 가지 신호로 일제히 깎습니다. 이 글에서는 어떤 신호가, 어떤 순서로, 얼마나 빠르게 영향을 주는지 정리합니다.
1. Google Safe Browsing 등재 — 검색 노출 0
가장 강력하고 가장 즉각적인 신호입니다. 사이트에서 악성코드 시그니처가 감지되면 Safe Browsing 데이터베이스에 등재되고, 그 시점부터:
- 검색 결과 스니펫에 "이 사이트는 해킹되었을 수 있습니다" 경고가 붙거나
- 아예 결과에서 사라지고
- Chrome·Firefox·Safari가 빨간 전체 페이지 경고로 막아섭니다
실제 사례에서 트래픽은 등재 후 24시간 안에 거의 0으로 떨어집니다. 평균 복구 기간은 7-14일이며, 그동안 매출은 거의 0에 수렴합니다.
2. 의심 페이지 인덱싱 — 도메인 평판 붕괴
공격자가 관리자 계정이나 노출된 경로를 통해 침투하면 도박·약품·성인 스팸 페이지를 사이트 안에 만들어 둡니다. Google이 그 페이지를 정상적으로 크롤링해 도메인 아래에 인덱싱하면 다음 일이 벌어집니다.
- 도메인 전체 평판(domain authority) 하락
- 본래의 메인 페이지조차 검색 결과 하위로 밀림
- Google Search Console에
"보안 문제"알림 발송
3. HTTPS·헤더 신호 약화
Google은 HTTPS 품질을 명시적인 랭킹 신호로 사용합니다. 침해 과정에서 TLS 설정이 약해지거나, HSTS·CSP 같은 보안 헤더가 사라지거나, mixed content가 섞이기 시작하면 — 직접적인 순위 하락은 미세하지만, 위 다섯 신호와 결합돼 체감 손실은 큽니다.
4. 메일 인증 무너짐 → 도메인 사칭 → 평판 하락
해킹 사고는 종종 SPF/DKIM/DMARC 설정 변경을 동반합니다 (공격자가 자기 도메인으로 송장 사기를 보내려고 일부러 약화시키는 경우도 있음). 이 시점부터 대량 사칭 메일이 외부로 나가고, 받는 메일 서버들이 도메인을 스팸으로 분류 하기 시작합니다. 이 신호는 검색 순위와 별개로 고객 신뢰를 직격합니다.
5. 사용자 신호의 즉각적 악화
브라우저 경고를 본 사용자는 즉시 뒤로가기를 누릅니다. 이 행동은:
- 높은 bounce rate
- 짧은 dwell time
- 낮은 클릭률(CTR)
모두 Google이 사용자 만족도 신호로 사용한다고 알려진 지표입니다. 검색 결과의 하위로 빠르게 밀리는 2차 효과가 발생합니다.
회복은 어떻게 시작되는가
회복의 출발점은 침해 원인 제거입니다. 원인을 못 잡고 페이지만 깨끗하게 돌리면, Search Console 재심사를 신청해도 며칠 안에 다시 등재됩니다. 우선순위:
- 침해 경로 식별 (취약 플러그인, 도용된 관리자 계정, 노출된 비밀키 등)
- 침해 후 추가된 모든 파일 제거 (웹쉘, 인젝션 스크립트, 스팸 페이지)
- 모든 패스워드·API 키·DB credential 회전
- Google Search Console → 보안 문제 보고서 → 재심사 요청
- 평균 7-14일 후 등재 해제
그 전에 한 번 잡는 게 100배 싸다
위 다섯 신호 중 어느 하나라도 우리가 사용자에게 보여줘야 할 페이지가 아니라 Google에게 먼저 보여주면 — 사고가 사고가 되기 전에 잡힙니다. 노출된.env, 오래된 jQuery, SPF 누락, 과도한 권한의 관리자 페이지 — 우리 스캐너가 5초 안에 짚어주는 것들입니다.