Defaults.Exposed

Defaults.Exposed › 보고서

PHP 웹의 절반이 지원 종료된 PHP를 실행 중이다 (2026)

게시일 2026-06-29

2026-06-29 기준 수치 · 방법론 v7. 261백만 개의 등급이 매겨진 도메인에서 관찰된 X-Powered-By 응답 헤더의 집계 인구조사 데이터입니다. EOL 비율은 가장 흔하게 공개된 PHP 버전을 기준으로 측정됩니다. “수명 종료(end-of-life)“란 더 이상 보안 수정을 받지 못하는 릴리스를 의미합니다(2026년 기준 PHP ≤ 8.1). 우리가 등급을 매기는 방법을 참고하세요.

웹의 상당 부분이 수년 전에 보안 패치를 받지 못하게 된 PHP를 실행하고 있으며 — 기꺼이 그 사실을 알려줍니다. 응답 헤더에서 PHP 버전을 공개하는 12백만 개의 사이트 중 50.8%가 수명 종료된 릴리스를 사용 중입니다. 전체 웹에서 가장 흔한 단일 PHP 버전은 **7.4.33**으로 — 2022년에 수명 종료에 도달한 빌드이며 — 1,889,273 개의 사이트에서 실행됩니다. 이들은 단지 구식이 아니라, 어떠한 보안 수정도 받지 못하면서 묻는 모든 스캐너에게 자신의 버전을 알립니다.

여기서 “수명 종료”가 의미하는 것

PHP 릴리스는 약 2년간의 적극적 지원과 추가로 1년의 보안 전용 수정을 받습니다. 그 이후 — 수명 종료 — 심각한 취약점에 대해서도 더 이상 보안 패치가 없습니다. 2026-06-29 기준으로 PHP 8.1까지 포함한 모든 버전이 수명 종료 상태입니다. EOL 버전을 사용하는 사이트가 새로 알려진 취약점을 떠안게 되면 그저 취약한 상태로 남습니다.

사이트가 X-Powered-By를 통해 광고하는 가장 흔한 버전:

공개된 버전사이트
asp.net2,319,873
php/7.4.331,889,273
php/8.2.301,157,134
php/8.3.301,082,519

가장 흔한 PHP 빌드인 **7.4.33**은 수명 종료 상태로 — 아직 지원되는 모든 릴리스를 앞섭니다.

서로 겹쳐 쌓인 두 가지 문제

이것은 복합적인 노출입니다:

  1. 소프트웨어가 패치되지 않았습니다. 버전을 공개하는 PHP 사이트의 50.8%는 새로 발견된 결함에 대해 보안 수정을 받을 수 없습니다. 이들은 아무것도 발견되지 않는 것에 의존하는데 — 이는 보안 전략이 아닙니다.
  2. 그것을 방송합니다. 정확한 버전을 공개하면 스캔이 쇼핑 목록으로 바뀝니다. 공격자는 인터넷에서 7.4.33을 필터링하고, 알려진 취약점과 대조하여, 단 하나의 익스플로잇을 보내기도 전에 표적 목록을 갖게 됩니다. (서버 헤더가 누설하는 것을 참고하세요.)

두 문제 모두 수정 비용이 크지 않습니다 — 그러나 작동하는 사이트와 아무런 경고를 보지 못하는 소유자에게는 보이지 않습니다.

수명 종료 PHP에서 벗어나는 방법

  1. 버전을 확인하세요. 8.1 이하라면 2026-06-29 기준으로 수명 종료 상태입니다.
  2. 지원되는 릴리스로 업그레이드하세요(8.2+). 대부분의 호스트는 원클릭 PHP 버전 전환을 제공합니다.
  3. 광고를 멈추세요. X-Powered-By를 제거하거나 일반화하여 공격자에게 버전을 넘기지 마세요.
  4. 다시 확인하여 검증하세요.

자주 묻는 질문

웹에서 가장 흔한 PHP 버전은 무엇인가요? 7.4.33 — 그리고 수명 종료 상태입니다. 2026-06-29 기준으로 아직 지원되는 어떤 릴리스보다 많은 1,889,273 개의 사이트에서 실행됩니다.

얼마나 많은 웹사이트가 지원되지 않는 PHP 버전을 실행하나요? 버전을 공개하는 12백만 개의 사이트 중 50.8%가 수명 종료된 릴리스(PHP ≤ 8.1)를 실행합니다. 많은 EOL 사이트가 버전을 숨기기 때문에 실제 수치는 더 높을 가능성이 큽니다.

수명 종료 PHP를 실행하는 것이 실제로 위험한가요? 네. EOL 버전은 보안 패치를 받지 못하므로 새로 발견된 취약점은 무기한 악용 가능한 상태로 남습니다. 버전 공개와 결합되면 사이트를 쉽고 사전에 선별된 표적으로 만듭니다.

내가 어떤 PHP 버전을 사용하는지 어떻게 알 수 있나요? 호스트의 제어판에 표시되며, 많은 사이트가 X-Powered-By 헤더에서 그것을 누설합니다. 지원되는 버전(8.2+)으로 업그레이드하는 것은 보통 원클릭 변경입니다.

사이트가 무엇을 드러내는지 확인하세요

사이트가 기술 스택을 광고하는지 — 그리고 나머지 보안 태세를 — 무료로, 비공개로 확인하세요.

도메인을 확인하세요 → · 서버 헤더가 누설하는 것 → · HTTP 보안 헤더 성적표 → · 집계 데이터만. 데이터는 EU에서 저장 및 처리됩니다.