내 서버 해킹당한 걸까요? 비전문가가 확인하는 5가지 신호

처음 서버를 빌려 서비스를 띄웠는데 어느 날 문득 "혹시 해킹당한 건 아닐까" 불안해질 때가 있습니다. 전문가가 아니어도 확인할 수 있는 대표적인 신호 5가지를 정리했습니다.

신호 1 — 모르는 로그인 시도가 폭증한다

공격자는 흔히 SSH 비밀번호를 자동으로 무차별 대입(brute force)합니다. 로그인 실패가 수백~수천 건 쌓여 있다면 누군가 문을 두드리는 중입니다. 아래로 실패 횟수를 셀 수 있습니다(데비안·우분투 기준, RHEL 계열은 /var/log/secure).

sudo grep "Failed password" /var/log/auth.log | wc -l

신호 2 — 본 적 없는 프로세스가 CPU를 100% 먹는다

특히 새벽 시간대에 CPU가 계속 100%라면 암호화폐 채굴 멀웨어(크립토재킹)일 가능성이 있습니다. 문제는 일부 채굴 멀웨어가 ps·htop 같은 도구에서 자신을 숨긴다는 점입니다.

신호 3 — 이상한 외부로 연결이 나간다

서버가 모르는 IP나 채굴풀로 바깥으로 연결을 맺고 있다면 의심해야 합니다. 정상 서비스가 만드는 연결과 구분이 필요합니다.

신호 4 — 관리자 권한·중요 파일이 바뀐다

갑자기 sudo(관리자 권한) 사용이 늘거나, 평소 바뀌지 않던 시스템 파일이 변조되면 침입 흔적일 수 있습니다.

신호 5 — 열려 있으면 안 되는 포트가 외부에 노출된다

데이터베이스(3306·5432)나 Redis(6379) 같은 포트가 외부 인터넷에 그대로 열려 있으면 공격의 입구가 됩니다. 이런 포트는 외부에 노출되지 않아야 합니다.

매번 보긴 어렵습니다 — 자동 감지

위 5가지를 사람이 매번 확인하긴 현실적으로 어렵습니다. Sentibel은 보안 계층에서 로그인 실패 급증·숨은 프로세스·악성 연결 의심·위험 포트 노출을 자동으로 감시하고, 이상하면 카카오·이메일로 알려줍니다. 코딩 지식 없이 5분 설치로 시작할 수 있습니다.

보안 모니터링은 침해 가능성을 빠르게 알리는 도구이며, 모든 침해를 완벽히 탐지·차단함을 보장하지는 않습니다. 의심 정황이 보이면 전문가의 점검을 함께 받으세요.