13가지 항목, 어떻게 판정하나요?
각 항목이 사이트의 어떤 부분을 보는지, 점수가 어떻게 깎이는지 그대로 공개합니다. 임의의 숫자가 아니라 정해진 규칙에 따라 채점되도록 만들었고, 사장님이 외주 개발사에 결과를 보여주실 때 "이 점수가 어떻게 나왔냐"는 질문에도 바로 답할 수 있게 했습니다.
| # | 영역 | 점검 항목 |
|---|---|---|
| 01 | 브라우저 보안 설정 (보안 헤더)headers | 가짜 화면 덧씌우기·악성 코드 끼워넣기를 막는 브라우저 보안 설정(보안 헤더: HSTS·CSP·X-Frame 등)이 켜져 있는지, 값이 적절한지 검사합니다. 빠진 게 있으면 권장 설정값까지 함께 알려드립니다. |
| 02 | 암호화 연결 (https 자물쇠)tls | 주소창의 자물쇠가 제대로 작동하는지, 인증서 만료일·신뢰성·암호화 방식이 안전한지 점검합니다. 만료가 가까울수록 위험도가 올라갑니다. |
| 03 | 새어나간 비밀번호·열쇠secrets | API 열쇠·접속 토큰·DB 비밀번호 같은 비밀값이 사이트 파일이나 응답에 그대로 노출돼 있는지 확인합니다. |
| 04 | 사이트 부품의 알려진 약점libraries | 사이트가 불러오는 화면 기능 부품(JavaScript 라이브러리)의 버전을 확인해, 알려진 보안 구멍(CVE) 목록과 대조합니다. |
| 05 | 외부에 그대로 열린 파일·페이지paths | 비밀번호가 담긴 설정 파일, 내부 작업 폴더, 관리자·백업 페이지처럼 밖에서 보이면 안 되는 파일·주소가 그대로 열려 있는지 점검합니다. |
| 06 | 수상한 코드 끼어듦content | 외부에서 몰래 심어진 의심스러운 스크립트, 가짜 창, 몰래 채굴하는 코인 마이너 같은 위험 신호를 사이트 화면에서 찾아냅니다. |
| 07 | 이메일 위조 방지 (SPF·DMARC·DKIM)dns | 가짜 메일을 막아주는 이메일 위조 방지 설정(SPF·DMARC·DKIM)과 도메인 변조 방지 설정(DNSSEC·CAA)이 제대로 되어 있는지 점검합니다. |
| 08 | 검색엔진 안내 파일 (robots.txt 등)discovery | 검색엔진에 사이트를 알려주는 안내 파일(robots·sitemap·ads.txt 등)이 있는지, 내용이 올바른지 살펴봅니다. |
| 09 | 서버 연결 구조 점검active | 응답 방식을 보고 사이트 앞단의 서버·중계 구조를 파악해, 설정이 잘못됐을 가능성을 표시합니다. |
| 10 | 사용 중인 기술 파악tech | 사이트가 어떤 프로그램·도구로 만들어졌는지 파악합니다 — 정확한 버전 확인과 알려진 약점 대조에 쓰입니다. |
| 11 | 사이트 정보 안내 파일 (.well-known)wellKnown | 보안 연락처(security.txt)나 로그인 연동 정보 같은 표준 안내 파일이 있는지, 내용이 올바른지 확인합니다. |
| 12 | 원본 코드 새는 파일 (소스맵)sourceMap | 실제 운영 사이트에 원본 코드가 그대로 드러나는 파일(소스맵)이 함께 올라가, 코드를 통째로 빼낼 수 있는 상태인지 점검합니다. |
| 13 | 방치된 하위 주소 탈취 위험subdomains | 더 이상 쓰지 않거나 연결이 끊긴 하위 주소(서브도메인)가 남에게 넘어가 악용될 위험이 있는지 표시합니다. |
점수 산정
기본 100점에서 시작해 발견된 항목의 위험도에 따라 차감합니다.
- 치명-35
- 높음-20
- 중간-10
- 낮음-4
- 정보0
같은 항목이 여러 경로에서 잡혀도 한 번만 차감하며, 최저 5점까지만 떨어집니다 — 위험이 많이 발견된 사이트라도 결과 페이지가 정상적으로 표시되도록 하기 위해서입니다. 등급은 A(90+) · B(75+) · C(60+) · D(40+) · F(40 미만)로 환산됩니다.
실제로 자주 잡히는 패턴
SMB 사이트를 점검하면서 반복적으로 발견되는 위험들입니다. 본인 사이트에서 보일 가능성이 가장 큰 항목부터 정리했습니다.
비밀번호가 담긴 설정·작업 파일이 그대로 열림
외주 개발사가 배포 후 정리를 안 했거나, 서버에서 숨김 파일 차단이 빠진 경우(.env·.git). DB 비밀번호 · 결제 열쇠 · 로그인 비밀값이 통째로 새어나갑니다.
오래돼 위험한 사이트 부품(jQuery·Bootstrap)
워드프레스 테마나 그누보드 스킨이 5~10년 전 부품을 그대로 들고 있는 경우. 알려진 보안 구멍(CVE)이 한꺼번에 다수 잡힙니다.
이메일 위조 방지 설정이 안 됨 (DMARC 없음/약함)
회사 도메인으로 가짜 메일을 누구나 보낼 수 있는 상태. 거래처가 받으면 회사 신뢰가 한 번에 무너집니다.
관리자 페이지가 외부에 그대로 열림
관리자 로그인 주소(/wp-admin·/admin 등)가 접속 제한 없이 열려 있는 경우. 비밀번호를 마구 찍어보는 자동 공격의 1순위 표적입니다.
브라우저 보안 설정(보안 헤더)이 빠짐
결제대행사 보안 심사에서 자주 지적되는 항목. 가짜 화면을 덧씌우거나 악성 코드를 끼워넣는 공격을 막는 방어선이 빠져 있다는 신호입니다.
암호화 연결(https 자물쇠) 인증서 만료 임박
30일 이내 만료가 보이면 즉시 알려드립니다. 만료되면 브라우저가 빨간 경고 화면을 띄워 매출이 그대로 멈춥니다.
스캐너의 한계
외부에서 볼 수 있는 신호만 검사하기 때문에, 모든 보안 문제를 잡지는 못합니다. 어디까지 책임지고 어디부터는 사람 손이 필요한지 미리 알려드립니다.
로그인 뒤의 화면은 보지 못합니다
관리자 페이지나 회원 전용 영역 안쪽의 권한 설정, 정보 노출은 점검 범위 밖입니다 — 사람이 직접 로그인해서 확인해야 잡을 수 있는 영역입니다.
실제로 뚫어보는 공격(침투 테스트)은 하지 않습니다
사이트를 실제로 해킹하듯 비밀번호를 마구 찍어보거나 시스템에 침입하는 시도는 하지 않습니다. 위험해 보이는 부분은 표시해드리지만, 실제로 뚫어보는 정밀 점검은 사장님이 별도로 외주 의뢰하셔야 합니다.
운영 방식상의 허점은 잡지 못합니다
결제 금액을 손님 쪽 화면에서 몰래 바꿀 수 있는지, 쿠폰을 무한히 쓸 수 있는지 같은 문제는 사이트마다 달라서 자동으로 검사할 수 없습니다.
이 결과만으로 법적 인증이 끝나지는 않습니다
개인정보보호법 · ISMS-P · PCI DSS 같은 공식 인증은 별도의 절차가 필요합니다. 이 점검은 "우선 외부에서 보이는 큰 구멍부터 막자"는 단계의 도구입니다.
샘플 리포트에서 실제 결과 페이지가 어떻게 생겼는지 먼저 확인하실 수 있습니다.