SEO의 세계에서 속도는 곧 계급입니다. 구글은 로딩이 3초를 넘가는 사이트를 혐오합니다. Core Web Vitals(웹 바이탈) 지표가 도입된 이후, 느린 사이트는 아무리 좋은 글을 써도 상위권에 머물 수 없게 되었습니다.
그렇다면 반대로 생각해 봅시다. 내가 내 사이트를 빠르게 만드는 데 한계가 있다면, 경쟁사의 사이트를 느리게 만들면 되지 않을까요?
오늘 이야기할 주제는 무식하게 트래픽을 퍼부어 사이트를 다운시키는 디도스(DDoS)가 아닙니다. 사이트는 멀쩡히 열려 있는 것처럼 보이지만, 구글 봇이 방문했을 때만 치명적인 지연을 발생시키는 ‘리소스 고갈(Resource Exhaustion)’ 공격에 대한 기술적 기록입니다.
1. 대역폭이 아니라 데이터베이스(DB)를 노린다
초보적인 공격자들은 좀비 PC를 동원해 대량의 접속 요청을 보냅니다. 하지만 이는 CDN(클라우드플레어 등)이나 방화벽에 쉽게 막힙니다.
진짜 프로들은 ‘네트워크 대역폭’이 아니라 웹사이트의 심장인 ‘데이터베이스(DB)’를 타격합니다.
대부분의 웹사이트(특히 워드프레스)는 검색 기능이나 필터링 기능을 가지고 있습니다. 이 기능은 서버 입장에서 꽤 많은 연산 자원을 소모합니다.
저희는 이 점을 파고듭니다. 일반적인 접속이 아니라, 서버가 복잡한 연산을 수행해야만 결과를 뱉어낼 수 있는 ‘무거운 쿼리(Query)’ 수천 개를 교묘하게 조합해서 보냅니다.
- 예시: “검색어 A + 필터 B + 정렬 C + 페이지 999”
이런 요청이 동시에 들어오면 서버의 CPU 점유율은 순간적으로 100%를 찍게 됩니다. 사이트가 다운되지는 않지만, 반응 속도가 0.2초에서 3.5초까지 늘어지는 ‘렉’이 걸리게 되는 것입니다.
2. 구글 봇이 방문하는 타이밍을 노린다
이 공격의 핵심은 ‘타이밍’입니다. 24시간 내내 공격하면 서버 관리자가 눈치채고 IP를 차단할 겁니다.
그래서 저희는 자체 개발한 크롤링 봇을 통해 구글의 검색 로봇(Google-Bot)이 경쟁사 사이트에 진입하는 순간을 감지합니다. 봇이 크롤링을 시작하려는 그 찰나의 순간에 맞춰 리소스 고갈 패킷을 주입합니다.
결과는 어떻게 될까요?
- 구글 봇 사이트 접속 시도
- 평소보다 응답이 3~4초 이상 지연됨
- 구글 알고리즘: “이 사이트는 서버 상태가 불안정하고 사용자 경험(UX)이 나쁨”이라고 판단
- 해당 페이지의 색인 점수 삭감 및 순위 하락
관리자는 “어? 잠깐 서버가 느렸나?” 하고 넘어가겠지만, 이미 구글의 평가는 끝난 뒤입니다.
3. 실제 필드 테스트 결과
지난달, ‘강남 성형외과’ 키워드에서 부동의 1위를 지키던 경쟁 업체 A사를 타겟으로 이 전술을 테스트했습니다.
A사는 고성능 서버를 쓰고 있었지만, 게시판 검색 기능의 취약점이 있었습니다. 저희는 단 50개의 프록시 IP만으로 A사의 내부 DB에 과부하를 걸었습니다.
작업 시작 3일 차, A사의 평균 LCP(최대 콘텐츠 풀 페인트) 시간은 1.2초에서 4.8초로 악화되었습니다. 작업 시작 10일 차, 구글 서치 콘솔에서 ‘느린 URL’ 경고가 떴을 것이고, 결국 A사는 1위 자리에서 6위로 미끄러졌습니다.
그들은 아직도 왜 순위가 떨어졌는지 모른 채, 애꿎은 블로그 글만 수정하고 있을 겁니다.
4. 방어는 가능한가?
이 공격이 무서운 이유는 ‘정상적인 접속’과 구별하기 힘들다는 점입니다. 봇이 아니라 실제 브라우저를 흉내 내어 요청을 보내기 때문에 일반적인 방화벽으로는 걸러내기 어렵습니다.
하지만 막을 방법은 있습니다. DB 쿼리 캐싱을 최적화하고, 검색 요청의 빈도를 IP당 정밀하게 제어(Rate Limiting)하는 보안 세팅이 필요합니다.
물론, 일반적인 웹 에이전시나 개발자들은 이런 디테일한 보안 설정까지 신경 쓰지 않습니다. 그게 저희 같은 공격자가 활동하기 좋은 환경을 만들어주는 셈이죠.
당신의 사이트가 이유 없이 느려졌나요? 호스팅 업체를 탓하기 전에, 누군가 당신의 DB를 괴롭히고 있는 건 아닌지 의심해봐야 합니다.
Team Black SEO는 공격 기술을 연구하지만, 그 기술을 바탕으로 가장 완벽한 방어 체계를 구축해 드립니다. 창을 잘 쓰는 사람이 방패도 잘 쓰는 법이니까요.