사이트 해킹되기 전에,
외부에서 보이는약점 먼저 찾기.
사이트가 해킹돼서 카드 결제가 막히거나 손님 신뢰를 잃기 전에, 외부에서 누구나 볼 수 있는 약한 곳을 먼저 찾아드립니다. "내 사이트가 맞다"는 확인 한 번이면 13가지 항목(외부에 그대로 열려 있는 설정·비밀 파일, 브라우저 보안 설정(보안 헤더), 사이트가 쓰는 부품의 알려진 보안 구멍(CVE), 이메일 위조 위험 등)을 한꺼번에 점검해 위험한 순서대로 정리해 보여드립니다.
결제하면 이런 리포트를 받습니다
보안 점검이 끝나면 보이는 실제 결과 화면입니다. 아래는 오래된 워드프레스 사이트(example.com)를 점검했다고 가정한 예시 리포트로, 위험한 순서대로 정리된 모습 그대로입니다.
- 치명2
- 높음2
- 중간1
- 낮음1
- 치명외부에 열린 파일
비밀번호가 담긴 설정 파일(.env)이 외부에 그대로 열려 있습니다.
고치는 법서버에 숨김 파일 차단 규칙을 추가하고, 노출된 비밀번호·열쇠는 즉시 모두 새로 발급해주세요.
- 치명사이트 부품
오래된 사이트 부품(jQuery 1.7.2)에 알려진 보안 구멍 3건이 있습니다.
고치는 법jQuery 3.7 이상으로 올리거나, 테마에 묶여 있다면 테마 자체를 최신 버전으로 교체해주세요.
- 높음브라우저 보안 설정
악성 코드 차단 보안 헤더(CSP)가 빠져 있습니다.
고치는 법최소한의 CSP부터 적용한 뒤, 차단 기록을 보면서 점차 범위를 좁혀가세요.
- 높음외부에 열린 파일
관리자 페이지(/wp-admin)가 접속 제한 없이 열려 있습니다.
고치는 법허용된 곳에서만 접속하도록 제한하거나, 2단계 인증 플러그인을 즉시 설치해주세요.
- 중간이메일 위조
이메일 위조 방지 설정이 켜져만 있고 실제로 막지는 않습니다 (DMARC p=none).
고치는 법먼저 의심 메일을 격리하는 단계(p=quarantine)로 옮긴 뒤, 완전 차단까지 단계적으로 강화하세요.
- 낮음브라우저 보안 설정
주소 유출 방지 설정(Referrer-Policy)이 빠져 있습니다.
고치는 법`Referrer-Policy: strict-origin-when-cross-origin` 설정을 추가해주세요.
이게 바로 SECURITY:LAB 이 만드는 결과입니다.
전문 용어 대신 "무엇이 문제이고 어떻게 고치는지"를 사장님 말로 정리합니다. 본인 사이트 결과는 결제 후 모든 항목이 잠금 해제되며, 결과 주소는 그대로 유지돼 외주 개발사에 그대로 전달할 수 있습니다.
예시 데이터 · 실제 고객 사이트 아님 · 결과 화면 구성은 동일
- 13
- 검사 항목
- 4
- 영역
- 3–5초
- 점검 시간
- $29
- 잠금 해제
4개 영역
한꺼번에 점검
자동 · 설치 불필요
호스트당 · 재스캔 무료
이런 사이트에 효과가 큽니다
보안 사고는 "우리를 누가 노리겠어" 하던 사장님한테 어느 날 갑자기 터집니다. 아래에 해당된다면, 외부 점검 한 번이 보험보다 쌉니다.
쇼핑몰 · 결제 받는 사이트
브라우저 보안 설정(보안 헤더)이 빠져 있거나 암호화 연결(https 자물쇠)에 문제가 있어서 카드사·결제대행사가 결제를 막는 경우. 사장님이 직접 서버 설정을 만지기 어렵고, 어디부터 봐야 할지 모르면 외주 견적도 막막해집니다.
병원 · 클리닉 · 법무법인
환자나 고객 정보가 든 폴더가 밖에서 그대로 열리는 경우. 비밀번호가 담긴 설정 파일·백업 파일·내부용 페이지가 외부에 그대로 열려 있으면 개인정보보호법 신고 대상이 됩니다.
외주로 사이트를 만든 경우
디자이너나 개발사가 내부 작업 폴더(.git), 원본 코드가 그대로 드러나는 파일(소스맵), 관리자 페이지를 정리하지 않고 떠나는 경우가 많습니다. 사장님이 직접 찾아내기 어려운 영역입니다.
오래된 워드프레스 · 그누보드 사이트
사이트가 쓰는 부품(jQuery·Bootstrap 같은 화면 기능 모음)이 몇 년째 그대로라 알려진 보안 구멍(CVE)이 쌓여 있는 경우. 아무 경고 없이 운영 중인 사이트가 많습니다.
회사 도메인으로 메일 보내는 모든 곳
이메일 위조 방지 설정(SPF·DKIM·DMARC)이 안 되어 있으면 누구나 "@yourcompany.com" 주소로 가짜 메일을 보낼 수 있습니다. 거래처가 그 메일을 받기라도 하면 회사 신뢰가 한순간에 무너집니다.
결제하면 이렇게 진행됩니다
도메인 인증부터 잠금 해제까지 한 페이지 안에서 끝납니다. 결제는 사이트당 1회, 같은 도메인은 평생 무료로 다시 점검할 수 있습니다.
- 01
도메인 인증 (무료)
토큰 파일 하나를 업로드하거나 메타 태그 한 줄을 넣는 방법 중에서 편한 쪽을 선택하시면 됩니다. "내 사이트가 맞다"는 증명이 필요한 이유는, 남의 사이트를 함부로 스캔하면 법적으로 문제가 될 수 있기 때문이에요.
01도메인 인증 (무료)
토큰 파일 하나를 업로드하거나 메타 태그 한 줄을 넣는 방법 중에서 편한 쪽을 선택하시면 됩니다. "내 사이트가 맞다"는 증명이 필요한 이유는, 남의 사이트를 함부로 스캔하면 법적으로 문제가 될 수 있기 때문이에요.
- 02
자동 점검 (3-5초)
13가지 항목을 한꺼번에 점검합니다. 발견된 문제 개수와 위험도(치명 · 높음 · 중간 · 낮음)별 분포가 화면에 바로 표시됩니다.
02자동 점검 (3-5초)
13가지 항목을 한꺼번에 점검합니다. 발견된 문제 개수와 위험도(치명 · 높음 · 중간 · 낮음)별 분포가 화면에 바로 표시됩니다.
- 03
$29 (약 ₩40,000) 결제 → 잠금 해제
치명 · 높음 · 중간 항목이 모두 공개되고, 각 항목마다 무엇이 문제인지(검색 노출 · 신뢰도 · 보안에 미치는 영향)와 해결법까지 정리해드립니다. 낮음 · 정보 항목은 무료로 공개됩니다.
03$29 (약 ₩40,000) 결제 → 잠금 해제
치명 · 높음 · 중간 항목이 모두 공개되고, 각 항목마다 무엇이 문제인지(검색 노출 · 신뢰도 · 보안에 미치는 영향)와 해결법까지 정리해드립니다. 낮음 · 정보 항목은 무료로 공개됩니다.
- 04
평생 재스캔
고친 뒤 같은 도메인을 다시 점검할 수 있습니다. 추가 결제는 없고, 시간이 지나면서 새로 생긴 위험도 다음 스캔에서 잡힙니다.
04평생 재스캔
고친 뒤 같은 도메인을 다시 점검할 수 있습니다. 추가 결제는 없고, 시간이 지나면서 새로 생긴 위험도 다음 스캔에서 잡힙니다.
어떤 항목을 점검하나요?
13가지 검사 항목이 4개 영역을 한꺼번에 훑습니다. 결과는 위험도(치명 → 낮음)와 종류별로 정렬되어 한 페이지로 정리됩니다.
외부에 그대로 열린 파일
비밀번호·열쇠가 담긴 설정 파일이 그대로 열림 (.env · config) · 관리자 · 내부용 페이지가 외부에 노출 · 원본 코드가 드러나는 파일(소스맵) · 폴더 목록 공개 · 사이트 정보 안내 파일(.well-known) 확인
암호화 연결 · 브라우저 보안 설정
암호화 연결(https 자물쇠) 인증서 · 만료일 점검 · 브라우저 보안 설정(보안 헤더) 적용 여부 · 외부로 새는 정보 · 정보 유출 방지 설정 · 암호화 안 된 콘텐츠 혼입 · 쿠키 보안 설정
사이트가 쓰는 부품 · 코드
사이트가 쓰는 부품의 알려진 보안 구멍(CVE) 대조 · 오래돼 위험한 jQuery · Bootstrap · 워드프레스 플러그인 · 원본 코드가 그대로 새는 파일(소스맵) 노출 · 검색엔진 속이는 수법 · 몰래 채굴 코드
이메일 위조 · 도메인 설정
이메일 위조 방지 설정 (SPF · DMARC · DKIM) · 도메인 변조 방지 설정 (DNSSEC · CAA) · 가짜 메일에 도용될 수 있는 도메인 찾기 · 방치된 하위 주소가 남에게 넘어갈 위험
샘플 리포트가 궁금하시면 먼저 둘러보시고, 마음에 드시면 본인 도메인으로 점검을 돌려보세요.