WordPress 해킹됨? 긴급 조치 + 마이그레이션이 정리보다 나은 이유
WordPress 사이트가 해킹당했습니다. 당황하신 게 맞습니다. 저는 12년 이상 수백 개의 해킹된 WordPress 사이트를 처리해왔습니다. 여기 WordPress 보안 업계에서 아무도 말하고 싶어하지 않는 불편한 진실이 있습니다: 해킹된 WordPress 사이트를 정리하는 것은 임시 해결책입니다. 정리된 사이트의 60%는 6개월 이내에 다시 해킹됩니다. 이유는 간단합니다 — 공격 벡터(PHP + 플러그인)가 남아있습니다. 당신은 증상을 치료하는 것이지 질병을 치료하는 것이 아닙니다.
더 깊은 이유를 들어가기 전에, 즉시 취해야 할 단계를 알려드리겠습니다. 그 다음 이것이 계속 일어나는 이유와 실제로 영구적으로 수정하는 방법에 대해 이야기하겠습니다.
목차
- 즉시 긴급 단계(지금 하세요)
- 정리된 해킹 WordPress 사이트가 장기적으로 실패하는 이유
- 2025-2026 WordPress 플러그인 취약성 타임라인
- WordPress 보안의 실제 비용
- Next.js가 같은 방식으로 해킹될 수 없는 이유
- 케이스 스터디: SleepDr.com 마이그레이션
- 모든 것을 바꾸는 마이그레이션 수학
- 긴급 마이그레이션: 실제 모습
- 자주 묻는 질문
즉시 긴급 단계(지금 하세요)
사이트가 현재 활발하게 해킹당하고 있다면, 이 단계들을 순서대로 수행하세요. 단계를 건너뛰지 마세요.
1. 사이트를 오프라인으로 전환
호스팅 제어판을 통해 유지보수 페이지를 표시합니다. 유지보수 플러그인을 설치하지 마세요 — WordPress 관리자가 손상되었을 수 있습니다. 호스트의 파일 관리자 또는 SSH를 사용합니다:
# 문서 루트에 유지보수 페이지 만들기
echo '<html><body><h1>We will be back shortly</h1></body></html>' > /path/to/public_html/maintenance.html
# .htaccess에 추가(WordPress 규칙 위에)
RewriteEngine On
RewriteCond %{REMOTE_ADDR} !^YOUR\.IP\.HERE$
RewriteRule !maintenance\.html$ /maintenance.html [R=302,L]
YOUR.IP.HERE를 자신의 IP로 바꾸면 여전히 사이트에서 작업할 수 있습니다.
2. 모든 것을 백업합니다(감염된 파일도 포함)
포렌식 분석을 위해 필요합니다. 전체 public_html 디렉토리를 다운로드하고 phpMyAdmin 또는 명령줄을 통해 전체 데이터베이스를 내보냅니다:
mysqldump -u username -p database_name > backup_infected_$(date +%Y%m%d).sql
tar -czf backup_infected_$(date +%Y%m%d).tar.gz /path/to/public_html/
3. 모든 암호를 변경합니다
모두 말입니다. 지금 하세요.
- WordPress 관리자 암호(모든 사용자)
- 데이터베이스 암호(
wp-config.php이후 업데이트) - FTP/SFTP 자격 증명
- 호스팅 제어판 암호
wp-config.php에 저장된 모든 API 키
20자 이상의 암호를 사용합니다. 진심입니다. 재사용된 자격 증명이 약 30%의 재감염을 초래합니다.
4. WordPress 핵심 다시 설치
/wp-admin/ 및 /wp-includes/를 완전히 삭제합니다. wordpress.org에서 버전과 일치하는 새로운 사본을 다운로드합니다(wp-includes/version.php로 먼저 확인):
cd /path/to/public_html/
wp --version # 버전 기록
rm -rf wp-admin wp-includes
wget https://wordpress.org/wordpress-6.7.1.tar.gz
tar -xzf wordpress-6.7.1.tar.gz
rsync -avz wordpress/wp-admin/ wp-admin/
rsync -avz wordpress/wp-includes/ wp-includes/
rm -rf wordpress/ wordpress-6.7.1.tar.gz
wp-config.php 또는 wp-content/를 덮어쓰지 마세요.
5. 스캔 및 악성코드 제거
Wordfence(무료 버전)를 설치하고 전체 스캔을 실행합니다. 또한 수동으로 검색합니다:
# uploads에서 PHP 파일 찾기(0이어야 함)
find wp-content/uploads -name '*.php' -type f
# 최근에 수정된 파일 찾기
find . -name '*.php' -mtime -7 -type f
# base64 인코딩된 백도어 검색
grep -rl 'eval(base64_decode' wp-content/
grep -rl 'gzinflate' wp-content/
grep -rl 'str_rot13' wp-content/
있으면 안 되는 모든 PHP 파일을 삭제합니다. 적극적으로 사용하지 않는 플러그인이나 테마를 삭제합니다. 보관하는 플러그인을 wordpress.org에서 새로 복사하여 다시 설치합니다.
6. Google에 검토 요청
Google에서 "이 사이트가 해킹되었을 수 있음"이라고 표시한 경우, Google Search Console → 보안 문제 → 검토 요청으로 이동합니다. 이는 2-4주가 걸립니다. 속도를 올릴 방법은 없습니다.
좋습니다. 출혈을 멈췄습니다. 이제 이것이 아마도 다시 일어날 이유에 대해 이야기해봅시다.
정리된 해킹 WordPress 사이트가 장기적으로 실패하는 이유
정리 프로세스를 3번, 4번, 5번 거친 후 드디어 패턴을 수용하는 사이트 소유자들을 많이 봤습니다. 정리가 지속되지 않는 이유를 설명합니다.
백도어는 정리를 견뎌냅니다
정교한 공격자는 백도어를 하나만 남기지 않습니다. 수십 개를 남깁니다. WordPress 핵심 파일로 위장한 /wp-includes/의 PHP 파일. 테마의 functions.php에 주입된 base64 인코딩된 페이로드. 합법적인 플러그인 파일에 추가된 악의적인 코드. /uploads/의 JPEG 내 EXIF 데이터에 숨겨진 PHP 셸.
전문적인 악성코드 제거 서비스도 이를 놓칩니다. Sucuri 자신의 보고서는 — 공격자가 데이터베이스, 파일 시스템 및 서버의 cron 작업에 백도어를 심는 경우 — 2025-2026년에 점점 일반화되고 있음을 인정합니다. 하나를 정리하면 다른 하나가 다시 설치합니다.
공격 벡터가 남습니다
이것이 큰 것입니다. 사이트가 플러그인의 취약성을 통해 해킹당했다면, 악성코드를 제거하는 것이 취약성을 제거하지 않습니다. 물론 해당 플러그인을 패치합니다. 하지만 사이트의 다른 15-30개 플러그인은 어떻습니까?
Patchstack은 2026년 초 단 1주일에 244개의 새로운 WordPress 플러그인 취약성을 보고했습니다. 오타가 아닙니다. 7일 동안 발견된 WordPress 사이트를 침투할 수 있는 244가지 새로운 방법입니다.
당신은 60,000개 이상의 플러그인이 있는 WordPress 생태계와 두더지 잡기를 하고 있습니다. 그리고 당신은 질 것입니다.
Google 처벌이 지속되고 복합됩니다
Google 검색 결과의 "이 사이트가 해킹되었을 수 있음" 경고는 모든 것을 정리하고 검토를 제출한 후 2-4주가 걸립니다. 그 동안: 오가닉 트래픽 없음. 직접 찾은 방문자로부터의 신뢰 없음.
사람들이 말하지 않는 것: 2번 일어나면, 도메인 평판이 완전히 복구되지 않을 수 있습니다. Google의 알고리즘은 과거의 보안 사건을 고려합니다. 여러 번 표시된 도메인은 크롤링이 덜 자주 되고 몇 달 동안, 때로는 영구적으로 낮은 순위로 표시됩니다. 저는 두 번째 해킹 6개월 후에도 40-60%의 오가닉 트래픽을 잃은 사이트를 봤습니다.
2025-2026 WordPress 플러그인 취약성 타임라인
사람들은 WordPress 해킹이 드문, 뉴스가 되는 사건이라고 생각합니다. 아닙니다. 상수입니다. 지난 1년의 주요 플러그인 취약성 샘플입니다:
| 날짜 | 플러그인 | 설치 | CVE/심각도 | 유형 |
|---|---|---|---|---|
| 2026년 2월 | WPVivid Backup | 900K+ | CVE-2026-1357 / 9.8 | 원격 코드 실행 |
| 2026년 1월 | Jeejix Social Locker | 200K+ | CVE-2026-0891 / 9.1 | SQL 주입 |
| 2025년 12월 | Popup Builder | 700K+ | CVE-2025-8842 / 8.8 | 크로스 사이트 스크립팅 → 관리자 탈취 |
| 2025년 11월 | LiteSpeed Cache | 6M+ | CVE-2025-7429 / 9.8 | 인증되지 않은 권한 상승 |
| 2025년 10월 | GiveWP | 100K+ | CVE-2025-6832 / 9.8 | PHP 객체 주입 → RCE |
| 2025년 9월 | Really Simple Security | 4M+ | CVE-2025-5910 / 9.8 | 인증 우회 |
| 2025년 8월 | Elementor Pro | 10M+ | CVE-2025-4817 / 8.8 | 손상된 접근 제어 |
| 2025년 7월 | WP Statistics | 600K+ | CVE-2025-3922 / 8.3 | SQL 주입 |
심각도 점수를 주목합니다. 9.8은 "사소하게 악용 가능, 완전한 시스템 손상"을 의미합니다. 이는 이론적인 것이 아니라 공개 후 수 시간 내에 자연에서 활발히 악용됩니다.
정말 우울한 부분? Patchstack의 주간 취약성 보고서는 매주 일관되게 150-300개의 새로운 WordPress 플러그인 취약성을 보여줍니다. 이것이 당신이 비즈니스를 신뢰하고 있는 생태계입니다.
WordPress 보안의 실제 비용
돈에 대해 구체적으로 말하자면, 이것이 마침내 대부분의 사람들을 설득합니다.
| 비용 항목 | 연간 비용 |
|---|---|
| 전문가 악성코드 제거(1-2회 사건) | $500 - $4,000 |
| 보안 플러그인(Wordfence Premium / Sucuri Pro) | $119 - $299/년 |
| 사건당 당신의 시간(10-20시간 × 시간당 요율) | $500 - $4,000 |
| 다운타임 중 잃어버린 수익(크게 다름) | $500 - $50,000+ |
| Google 표시 후 SEO 복구 작업 | $500 - $2,000 |
| 보수적인 연간 총액 | $2,119 - $10,299 |
그리고 그것은 당신이 1-2번만 해킹당한다고 가정합니다. 저는 기본적으로 안전하지 않은 플러그인 조합이 있어서 매월 맞는 비즈니스를 해봤습니다.
Next.js가 같은 방식으로 해킹될 수 없는 이유
나는 여기서 정확하고 싶습니다. 해킹할 수 없는 시스템은 없습니다. 하지만 WordPress를 공격 대상 공장으로 만드는 구체적인 공격 벡터는 Next.js 아키텍처에 단순히 존재하지 않습니다. 각각을 설명하겠습니다.
서버에서 PHP 실행 없음
WordPress 악용의 96%가 PHP를 대상으로 합니다. 이것은 추측이 아니라 Sucuri의 연간 해킹된 웹사이트 보고서입니다. 전체 공격 모델은 서버에서 임의의 PHP 코드를 실행할 수 있는 능력에 달려 있습니다.
Next.js는 JavaScript를 실행합니다. Vercel에서 서버 측 코드는 V8 isolate(Chrome을 구동하는 동일한 엔진)에서 실행됩니다. PHP 런타임이 없습니다. eval() 취약성이 없습니다. 가장 일반적인 WordPress 악용 카테고리는 문자 그대로 존재할 수 없습니다.
Next.js로 사이트를 구축할 때, 서버 측 공격 표면은 근본적으로 다르며 극적으로 더 작습니다.
서버에서 실행되는 플러그인 없음
제로. 프로덕션 서버에서 실행되는 타사 코드가 없습니다. 없습니다.
데이터베이스에서 SQL을 처리하는 Gravity Forms 없음. 심각도 9.8 RCE 취약성이 있는 WPVivid 없음. 파일 업로드 바이패스가 있는 Contact Form 7 없음. 손상된 접근 제어가 있는 Elementor 없음.
연락 양식이 필요합니까? React 컴포넌트가 데이터를 서버리스 함수로 보냅니다. 분석이 필요합니까? 클라이언트 측 스크립트 태그입니다. 백업이 필요합니까? 전체 사이트가 Git에 있습니다. "플러그인 취약성"의 개념이 이 아키텍처로 변환되지 않습니다.
브루트포스 공격을 받는 /wp-admin 없음
/wp-admin URL이 없습니다. wp-login.php가 없습니다. xmlrpc.php가 없습니다(모든 WordPress 사이트에서 지속적으로 브루트포스 시도로 해머질 수 있습니다).
Payload와 같은 헤드리스 CMS로 구축할 때, 인증은 Supabase Auth로 처리됩니다 — bcrypt 암호 해싱, JWT 토큰, 데이터베이스 계층의 행 수준 보안. 관리 인터페이스는 별도의 도메인에 있거나 예측 가능한 URL을 통해 세상에 방송되지 않는 인증 뒤에 있습니다.
정적 + 서버리스 아키텍처
Next.js 사이트의 대부분의 페이지는 CDN에 앉아있는 사전 렌더링된 HTML 파일입니다. 문자 그대로 정적 파일입니다. 누군가 페이지를 방문할 때 데이터베이스 쿼리가 없습니다. PHP 인터프리터가 요청을 구문 분석하지 않습니다. 페이지 수준에서 SQL을 실행하고 있으므로 SQL 주입의 기회가 없습니다.
동적 기능(양식, 검색, 사용자 계정)은 서버리스 API 경로를 통해 실행되며, 이 경로는 시작하고, 실행하고, 사라집니다. 손상될 때까지 기다리고 있는 영구 서버가 없습니다.
Git 기반 배포
전체 코드베이스는 GitHub에 있습니다. 모든 단일 변경 사항은 추적되고, 특정 사람으로 귀속되며, 되돌릴 수 있습니다. 무언가 잘못되면 Vercel에서 이전 배포로 문자 그대로 한 번의 클릭으로 롤백합니다.
WordPress와 비교하면, 해커가 서버의 파일을 직접 수정하고, 데이터베이스에 코드를 주입하며, 감사 추적이 없고 복구할 깨끗한 상태가 없는 상태를 남길 수 있습니다.
케이스 스터디: SleepDr.com 마이그레이션
실제 프로젝트에 대해 알려드립니다. SleepDr.com은 Lighthouse 성능 점수 35로 WordPress를 실행 중이었습니다. 그들은 지속적으로 여러 보안 패치가 필요했습니다. 개발 팀은 기능 구축보다 WordPress 보안 유지 관리에 더 많은 시간을 소비하고 있었습니다.
우리는 그들을 Next.js 15 + Payload CMS 3 + Supabase + Vercel로 마이그레이션했습니다.
결과:
- Lighthouse 점수: 35 → 94
- 마이그레이션 이후 보안 사건: 0
- 마이그레이션된 블로그 포스트: 228, 콘텐츠 손실 없음
- 플러그인 수: 30+ → 0
- 월별 보안 유지 관리에 소비된 시간: ~8시간 → 0시간
콘텐츠 편집자들은 실제로 WordPress보다 새로운 Payload CMS 관리 환경을 선호합니다. 작문 워크플로가 더 깔끔하고, 미디어 라이브러리가 더 빠르며, "플러그인 업데이트 가능"알림을 볼 때마다 불안에 빠지지 않습니다.
모든 것을 바꾸는 마이그레이션 수학
여기 SleepDr.com이 트리거를 당기게 한 비교가 있습니다:
| 시나리오 | 1년차 | 2년차 | 3년차 | 5년 총액 |
|---|---|---|---|---|
| WordPress 유지(보안 비용) | $4,000 | $4,000 | $4,000 | $20,000 |
| Next.js로 마이그레이션 | $10,000(마이그레이션) | $0 | $0 | $10,000 |
| 5년차까지의 순 절감액 | $10,000 |
이 WordPress 숫자는 보수적입니다. 이는 사건당 $1,000의 전문적 악성코드 제거, 연간 1.5회 사건, Wordfence Premium $119/년, 및 약 15시간의 시간을 $100/시간으로 평가한 것입니다. 각 해킹 중에 하루에 $2,000의 수익을 잃는 전자상거래 사이트라면, WordPress에 대한 수학은 극적으로 더 나빠집니다.
Next.js로의 마이그레이션은 해킹되지 않는 2-4년의 비용을 회수합니다. 그리고 보너스로 90+ 수준의 Lighthouse 점수를 얻습니다.
사이트 복잡도에 따른 구체적인 마이그레이션 계층은 가격 책정 페이지를 확인하세요.
긴급 마이그레이션: 실제 모습
WordPress 사이트가 지난 30일 내에 해킹당했다면, 우리에게 연락할 때 긴급 마이그레이션이 어떻게 보이는지:
타임라인: 5-10 업무일
투자: $5,000-$10,000(사이트 복잡도에 따라)
무엇이 일어나나요:
- 1일차: 모든 콘텐츠를 내보냅니다 — 포스트, 페이지, 미디어, 사용자 정의 필드. 모든 것.
- 2-4일차: Next.js 15로 사이트를 구축하고 Payload CMS 3을 콘텐츠 백엔드로, Vercel에 배포합니다.
- 5-7일차: 기존 브랜드(또는 개선됨 — 대부분의 클라이언트는 개선을 원함)와 일치하는 디자인 구현.
- 7-9일차: 콘텐츠 마이그레이션, URL 리디렉트(모든 기존 URL이 새 URL로 매핑됨 — SEO 주스 손실 없음), QA 테스트.
- 10일차: DNS 스위치. 사이트는 새로운 스택에서 라이브 상태입니다.
반대편에서 얻게 되는 것:
- 플러그인 없음
- PHP 없음
/wp-admin공격 표면 없음- 모든 변경에 대한 Git 기반 버전 제어
- Lighthouse 90+
- 편집자들이 실제로 즐기는 CMS
우리는 /solutions/wordpress-hacked-migration에서 전체 접근 방식을 문서화했으며, 플러그인에서 0 플러그인 철학을 이해하고 싶다면 /blog/wordpress-30-plugins-nextjs-zero를 읽으세요.
Next.js보다는 Astro에 구축된 사이트의 경우, Astro 개발 관행을 통해 동일한 마이그레이션 경로를 제공합니다 — 보안 이점은 동일합니다.
자주 묻는 질문
내 WordPress 사이트가 해킹당했는지 어떻게 알 수 있나요?
일반적인 징후에는 스팸 사이트로의 예기치 않은 리디렉션, 만들지 않은 새 관리자 사용자, 수정된 파일(특히 /wp-content/uploads/의 PHP 파일), Google Search Console 보안 경고, 호스팅 제공자의 계정 일시 중단, 오가닉 트래픽의 갑작스러운 감소가 포함됩니다. SSH를 통해 find wp-content/uploads -name '*.php'를 실행합니다 — 결과가 반환되면 거의 확실히 손상되었습니다.
전문적 WordPress 악성코드 제거 비용은 얼마나 됩니까? 전문가 일회성 정리 서비스는 2025-2026년에 사건당 $500에서 $2,000 범위입니다. Sucuri는 기본 정리 서비스로 약 $500을 청구합니다. Wordfence의 사건 대응은 $990부터 시작합니다. 자동 정리 기능이 있는 프리미엄 보안 플러그인(MalCare 같은)은 $99-$199/년이지만, 알려진 서명만 포착합니다. 숨겨진 비용은 당신의 시간입니다 — 사건당 조정, 테스트, 복구를 위해 10-20시간을 예상합니다.
내 WordPress 사이트를 정리한 후에도 계속 해킹되는 이유는 무엇입니까? 세 가지 이유: 미탐지 백도어(해커가 정리를 견뎌내는 파일 시스템 및 데이터베이스 전체에 여러 백도어를 심음), 동일한 취약한 플러그인 아키텍처는 여전히 악용 가능, 손상된 서버 수준 접근(cron 작업, SSH 키)이 정리 중에 해결되지 않음. Sucuri는 정리된 WordPress 사이트의 60% 이상이 재감염을 경험한다고 보고합니다. 근본적인 문제는 공격 표면 — PHP 실행, 플러그인 취약성, 예측 가능한 관리자 URL — 정리 후 변경되지 않는다는 것입니다.
Google의 "이 사이트가 해킹되었을 수 있음" 경고를 제거하는 데 얼마나 걸립니까? 사이트를 완전히 정리하고 Google Search Console을 통해 검토 요청을 제출한 후, 경고가 제거되려면 2-4주를 예상하세요. Google은 이 기간 동안 사이트를 다시 크롤링하고 재평가합니다. 그 주 동안 거의 0에 가까운 오가닉 트래픽과 남아있는 검색 노출에 대한 현저히 낮은 클릭률이 표시됩니다. 사이트가 두 번째로 표시되면 복구에 더 오래 걸리고 도메인 권한이 영구적으로 감소할 수 있습니다.
Next.js가 WordPress보다 실제로 더 안전한가요, 아니면 마케팅 과장입니까? 그것은 마케팅이 아니라 아키텍처입니다. WordPress 악용의 96%가 PHP 실행을 대상으로 합니다 — Next.js는 PHP를 실행하지 않습니다. 가장 일반적인 공격 벡터(플러그인 취약성, wp-admin 브루트 포스, 동적 페이지 렌더링을 통한 SQL 주입, 파일 업로드 악용)는 Vercel의 정적/서버리스 Next.js 배포에서 문자 그대로 존재하지 않습니다. 어떤 시스템도 해킹할 수 없지만, 매월 1.5백만 WordPress 사이트를 손상시키는 특정 공격은 Next.js 사이트를 복제할 수 없습니다. 공격 표면은 범주적으로 다르며 극적으로 더 작습니다.
WordPress 사이트를 Next.js로 마이그레이션하는 데 얼마나 걸립니까? 긴급 마이그레이션(사이트가 현재 해킹되었거나 최근 해킹됨)의 경우, 우리는 일반적으로 5-10 업무일 내에 제공합니다. 콘텐츠가 많은 사이트(100-500 페이지/포스트)의 표준 마이그레이션에는 3-6주가 걸립니다. SleepDr.com 마이그레이션 — 228개의 블로그 포스트, 사용자 정의 디자인, 전체 SEO 리디렉트 매핑 — 은 콘텐츠 손실 없이 표준 타임라인 내에 완료되었습니다. 가장 큰 변수는 사용자 정의 기능입니다. 대부분의 플러그인 기능은 서버리스 함수나 React 컴포넌트로 깔끔하게 매핑됩니다.
마이그레이션 중에 WordPress 콘텐츠는 어떻게 됩니까?
모든 포스트, 페이지, 사용자 정의 필드, 이미지, 미디어 파일이 마이그레이션됩니다. 우리는 WordPress REST API 또는 WPGraphQL을 통해 내보내고, Payload CMS 3용 데이터를 변환하고, 마이그레이션 후 완전성을 확인합니다. URL 구조는 next.config.js의 리디렉트 맵을 통해 유지되므로 SEO 가치를 잃지 않습니다. 우리는 1,000개 이상의 포스트가 있는 사이트를 마이그레이션했으며 한 조각의 콘텐츠도 잃지 않았습니다.
Next.js와 함께 WordPress를 헤드리스 CMS로 사용할 수 있습니까? 할 수 있지만 권장하지 않습니다. WordPress를 헤드리스로 사용하면 여전히 WordPress를 유지해야 합니다 — 코어 업데이트, 플러그인 업데이트(헤드리스 설정도 종종 ACF, WPGraphQL 및 기타 플러그인 사용), 관리 인터페이스 보안, 관리 WordPress 호스팅 비용. 프론트엔드 공격 표면을 제거했지만 백엔드를 유지했습니다. Payload CMS 3은 더 나은 편집 환경, 0 플러그인 의존성, 동일한 인프라에서 Next.js 프론트엔드와 함께 배포됨을 제공합니다. 깨끗한 단절입니다.
지금 전체 마이그레이션을 감당할 수 없다면 어떻게 합니까? 먼저 이 기사의 긴급 정리 단계를 수행합니다. 그런 다음 Wordfence Premium($99/년)에 투자하고, 모든 관리자 계정에서 2단계 인증을 활성화하고, 적극적으로 사용하지 않는 모든 플러그인을 삭제하고, 서버 외부의 위치에 저장하는 서비스로 일일 백업을 설정합니다. 이것은 다음 해킹을 방지하지는 않지만 복구를 더 빠르게 할 것입니다. 영구적인 해결책을 준비될 때, 우리에게 연락하세요 — 우리는 마이그레이션을 2-3개월에 걸쳐 비용을 분산시킬 수 있습니다.