"우리 홈페이지, 혹시 해킹당하고 있는 건 아닐까요?" 이 걱정을 한 번이라도 해보셨다면, 지금 바로 읽어보세요.
홈페이지를 운영하다 보면 이런 뉴스를 종종 보게 됩니다. "소규모 쇼핑몰 개인정보 유출", "중소기업 홈페이지 해킹으로 악성코드 삽입." 남의 이야기 같지만, 실제로 중소기업 홈페이지는 해킹 표적이 되기 쉽습니다. 보안에 신경 쓸 여유가 없는 경우가 많고, 바로 그 빈틈을 노리기 때문입니다.
저희 비전솔루션은 웹 보안 진단 서비스를 제공하고 있습니다. URL 하나만 입력하면 AI가 자동으로 홈페이지 보안 상태를 점검하고 리포트를 발송합니다. 오늘은 저희 홈페이지(visionc.co.kr) 진단 결과를 그대로 공개합니다.
리포트는 이렇게 생겼습니다
아래 이미지가 실제 보안 진단 결과물입니다. 총 3페이지로 구성됩니다.
결과: 96점 / A등급
처음 보시면 용어들이 낯설게 느껴질 수 있습니다. 지금부터 하나씩 쉽게 풀어드리겠습니다.
종합 등급 A, 96점 — 이 점수는 무슨 뜻인가요?
보안 점수는 단순히 "해킹을 당했냐 안 당했냐"를 보는 게 아닙니다. "해킹을 당하기 얼마나 어려운 구조인가"를 점수로 나타냅니다.
| 등급 | 점수 | 의미 |
|---|---|---|
| A | 90점 이상 | 현재 보안 상태 우수. 정기 모니터링 권장 |
| B | 80~89점 | 양호. 일부 보안 항목 강화 필요 |
| C | 70~79점 | 보통. 주요 취약점 점검 필요 |
| D | 60~69점 | 취약. 즉각적인 보안 조치 필요 |
| F | 60점 미만 | 위험. 해킹 노출 위험 높음, 긴급 조치 필요 |
점수가 낮다고 해서 당장 해킹을 당한다는 뜻은 아닙니다. 하지만 점수가 낮을수록 공격자가 파고들 수 있는 빈틈이 많다는 신호입니다. 자동차 문을 잠그지 않은 것과 비슷합니다.
영역별 점수 — 4개 항목으로 나눠 봅니다
리포트 상단에 4개의 점수 카드가 있습니다.
| 항목 | 점수 | 내용 |
|---|---|---|
| 보안 | 100/100 | 해킹 방어, 악성코드, 설정 취약점 |
| SEO | 100/100 | 검색엔진 최적화 상태 |
| 성능 | 86/100 | 페이지 로딩 속도 |
| 종합 | 96/100 | 위 세 항목 종합 |
각 항목이 무엇을 보는지는 아래에서 자세히 설명드리겠습니다.
HTTPS — 내 홈페이지와 방문자 사이에 자물쇠가 있나요?
리포트에서 가장 먼저 나오는 항목이 HTTPS입니다.
쉽게 설명하면: 방문자가 홈페이지에 접속할 때 정보가 암호화되어 전달되는지를 확인합니다. HTTPS가 없으면 카페 와이파이처럼 옆에서 누군가 내용을 엿볼 수 있습니다. 비밀번호나 개인정보를 입력하는 페이지에서 특히 위험합니다.
확인 방법: 브라우저 주소창에 자물쇠 아이콘이 보이면 HTTPS가 적용된 것입니다.
visionc.co.kr은 HTTPS 정상 판정을 받았습니다.
악성코드 및 블랙리스트 진단 — 내 홈페이지가 바이러스를 뿌리고 있지는 않나요?
쉽게 설명하면: 홈페이지가 이미 해킹을 당해서 방문자에게 악성코드를 전파하고 있지는 않은지 확인합니다. 이미 감염된 홈페이지는 구글 같은 검색엔진에 "위험한 사이트"로 등록되어 검색 결과에서 사라질 수 있습니다.
진단 도구인 Sucuri SiteCheck를 통해 악성코드 삽입 여부와 블랙리스트 등재 여부를 동시에 확인합니다.
visionc.co.kr은 악성코드 미탐지, 블랙리스트 미등재 판정을 받았습니다.
CMS 및 서버 정보 점검 — 홈페이지 기술 정보가 외부에 노출되어 있나요?
CMS(Content Management System)란? 워드프레스, 그누보드, 라이믹스 같은 홈페이지 제작 플랫폼입니다. CMS가 외부에 드러나면 해당 플랫폼의 알려진 취약점을 공격자가 바로 노릴 수 있습니다.
서버 정보 노출이 위험한 이유: 어떤 운영체제, 어떤 웹서버를 쓰는지가 외부에 보이면, 공격자가 그에 맞는 해킹 도구를 선택할 수 있습니다. 마치 금고 회사 이름이 밖에 적혀 있으면 그 회사 금고를 여는 방법을 찾아보는 것처럼요.
| 항목 | 결과 | 의미 |
|---|---|---|
| 탐지된 CMS | 탐지 안 됨 | CMS 정보가 외부에 노출되지 않음 |
| 정보 노출 | 노출 없음 | 서버 기술 정보가 숨겨져 있음 |
visionc.co.kr은 Next.js(리액트 기반 최신 프레임워크)를 사용하지만, 외부에 세부 기술 정보가 노출되지 않아 안전합니다.
쿠키 보안 플래그 점검 — 로그인 정보가 도난당하지 않게 보호되나요?
쿠키란? 로그인 상태를 기억하기 위해 브라우저에 저장되는 작은 데이터입니다. 쇼핑몰에서 로그아웃하지 않아도 다음에 접속하면 로그인 상태가 유지되는 이유가 쿠키 때문입니다.
보안 플래그가 없으면? 해커가 자바스크립트로 쿠키를 훔쳐 계정을 탈취할 수 있습니다. 이를 XSS(크로스 사이트 스크립팅) 공격이라고 합니다.
visionc.co.kr은 로그인 기능이 없는 홈페이지이기 때문에 쿠키 자체가 발행되지 않습니다. 따라서 "해당 없음 — 쿠키 미발행" 판정으로 이 위험이 존재하지 않습니다.
CORS 설정 점검 — 다른 사이트가 내 데이터를 무단으로 가져가나요?
CORS(Cross-Origin Resource Sharing)란? 다른 도메인의 웹페이지가 내 서버의 데이터를 가져갈 수 있는지를 제어하는 보안 설정입니다.
쉽게 설명하면: A라는 사이트에서 "내 서버의 회원 정보를 가져와"라는 코드를 실행할 수 없게 막는 장치입니다. CORS가 잘못 설정되어 있으면 다른 사이트에서 내 서버 데이터를 무단으로 열람할 수 있습니다.
visionc.co.kr은 "CORS 정책 없음 — 외부 접근 차단" 상태입니다. 별도의 허용 설정을 하지 않아 외부 도메인에서의 무단 데이터 접근이 차단되어 있습니다.
이메일 보안 (SPF · DMARC) — 내 이름으로 가짜 이메일이 발송될 수 있나요?
이 항목은 많은 분들이 처음 들어보실 수 있습니다. 매우 중요한 내용입니다.
SPF란? "내 도메인을 사칭해서 이메일을 보낼 수 있는 서버 목록"을 지정하는 설정입니다. SPF가 없으면 아무 서버에서나 noreply@여러분도메인.com 이름으로 이메일을 보낼 수 있습니다.
DMARC란? SPF 또는 DKIM 검증에 실패한 이메일을 어떻게 처리할지 정하는 정책입니다. "실패한 이메일은 거부해라", "격리해라", "그냥 통과시켜라" 중에서 선택합니다.
왜 중요한가? 피싱 사기에서 가장 많이 사용되는 수법이 바로 기업 도메인을 사칭한 이메일입니다. 고객에게 [email protected]처럼 보이는 가짜 이메일로 "비밀번호를 변경하세요"라는 메시지를 보내는 식입니다.
| 항목 | 상태 | 레코드 |
|---|---|---|
| SPF | 설정됨 | v=spf1 include:_spf.google.com ~all |
| DMARC | 설정됨 (정책: none) | v=DMARC1; p=none; rua=mailto:... |
visionc.co.kr은 SPF와 DMARC 모두 설정되어 있습니다. 다만 DMARC 정책이 none(모니터링만 하고 실제 차단은 하지 않음)으로 되어 있어, 향후 quarantine(격리) 또는 reject(거부)로 강화하면 더 안전해집니다.
민감 파일 30경로 점검 — 비밀번호가 담긴 파일이 외부에 공개되어 있나요?
쉽게 설명하면: 홈페이지 서버에는 중요한 설정 파일들이 있습니다. 데이터베이스 비밀번호, API 키, 서버 접속 정보 등이 담겨 있는 파일들이죠. 이 파일들이 실수로 외부에서 접근 가능하게 열려 있으면 즉각적인 해킹 피해로 이어집니다.
점검 대상 파일 예시:
.env— 환경 변수 파일 (비밀번호, API 키 모음).git디렉토리 — 소스코드 전체가 노출될 수 있음database.sql— 데이터베이스 백업 파일config.php,wp-config.php— 워드프레스 설정 파일phpinfo.php— PHP 서버 정보 노출 파일
점검 방법: AI가 30개 경로에 직접 HTTP 요청을 보내서 접근 가능 여부를 확인합니다.
visionc.co.kr은 점검한 30개 경로에서 노출된 파일 없음 판정을 받았습니다.
보안 헤더 13개 점검 — 브라우저에 보안 지침을 제대로 전달하고 있나요?
이 항목이 이번 진단에서 가장 전문적인 부분입니다. 하지만 쉽게 이해할 수 있습니다.
보안 헤더란? 웹서버가 브라우저에게 보내는 "보안 지침서"입니다. "이 페이지에서는 외부 스크립트를 실행하지 마라", "다른 사이트에서 이 페이지를 프레임으로 띄우지 마라" 같은 지시를 내립니다.
아래 13가지 보안 헤더를 모두 점검했고, visionc.co.kr은 전체 통과했습니다.
| 보안 헤더 | 쉬운 설명 | 결과 |
|---|---|---|
| HSTS | 항상 HTTPS로만 접속하도록 강제. HTTP로 접속 시도하면 자동으로 HTTPS로 전환 | 통과 |
| CSP (콘텐츠 보안 정책) | 허가된 출처의 스크립트만 실행 허용. 해킹 스크립트 삽입 차단 | 통과 |
| X-Frame-Options | 다른 사이트가 내 홈페이지를 몰래 iframe으로 삽입하는 클릭재킹 공격 차단 | 통과 |
| X-Content-Type | 브라우저가 파일 형식을 멋대로 추측해서 실행하는 위장 공격 차단 | 통과 |
| Referrer-Policy | 다른 페이지로 이동할 때 방문자의 이전 URL 정보를 어디까지 알려줄지 제어 | 통과 |
| Permissions-Policy | 카메라, 마이크, 위치정보 등 기기 기능 접근을 제한 | 통과 |
| COOP | 여러 탭·팝업 사이에서 민감한 데이터가 공유되는 것을 차단 | 통과 |
| CORP | 내 서버 리소스(이미지, 스크립트 등)를 다른 도메인에서 무단으로 사용하는 것을 차단 | 통과 |
| COEP | 외부 콘텐츠를 가져올 때 보안 허가를 요구 | 통과 |
| X-XSS-Protection | 브라우저 내장 XSS 필터 활성화. 스크립트 삽입 공격 탐지 시 차단 | 통과 |
| Cache-Control | 민감한 페이지가 브라우저 캐시에 저장되지 않도록 설정 | 통과 |
| Expect-CT | SSL 인증서 위조 공격을 탐지하고 보고 | 통과 |
| Feature-Policy | 브라우저 기능(카메라, 마이크 등)에 대한 세부 접근 제한 | 통과 |
13개 모두 통과라는 결과는 쉽게 달성되는 수준이 아닙니다. 일반적으로 중소기업 홈페이지는 절반도 설정되어 있지 않은 경우가 많습니다.
성능 측정 — 홈페이지가 빠른가요?
보안 리포트에 성능 측정이 포함된 이유가 있습니다. 느린 홈페이지는 방문자가 떠나는 원인이 되고, 이는 직접적인 매출 손실로 이어지기 때문입니다.
구글 PageSpeed Insights 기준으로 측정한 결과입니다.
| 지표 | 결과 | 의미 |
|---|---|---|
| LCP (최대 콘텐츠 표시 시간) | 1.8초 | 화면에서 가장 큰 요소가 보이기까지의 시간. 2.5초 이하면 양호 |
| FCP (첫 콘텐츠 표시 시간) | 1.4초 | 페이지에서 무언가 처음 보이기까지의 시간. 1.8초 이하면 양호 |
| CLS (레이아웃 이동 점수) | 0.000 | 페이지가 로드되면서 요소들이 갑자기 움직이는 현상. 0에 가까울수록 좋음 |
| PageSpeed 종합 | 86점 | 100점 만점. 90점 이상이면 최상, 80점대는 양호 |
LCP와 FCP가 모두 빠른 수준입니다. 특히 CLS 0.000은 페이지 레이아웃이 매우 안정적임을 의미합니다.
진단 결과 요약 — 현재 어떤 상태인가요?
| 영역 | 결과 | 권장 조치 |
|---|---|---|
| HTTPS 암호화 | 정상 | 유지 |
| 악성코드/블랙리스트 | 이상 없음 | 정기 점검 |
| CMS/서버 정보 | 노출 없음 | 유지 |
| 쿠키 보안 | 해당 없음 | 로그인 추가 시 적용 필요 |
| CORS 설정 | 정상 | 유지 |
| SPF | 설정됨 | 유지 |
| DMARC | 설정됨 (none) | quarantine 또는 reject으로 강화 권장 |
| 민감 파일 | 30개 전체 안전 | 정기 점검 |
| 보안 헤더 | 13개 전체 통과 | 유지 |
| PageSpeed | 86점 | 지속 관리 |
전반적으로 매우 양호한 보안 상태입니다. 현재 수준을 유지하면서 DMARC 정책을 강화하고, 정기적인 보안 점검을 받는 것을 권장드립니다.
보안 점검, 왜 주기적으로 해야 할까요?
홈페이지 보안은 한 번 설정했다고 끝이 아닙니다. 이유가 있습니다.
1. 취약점은 계속 새로 발견됩니다. 오늘 안전해도 내일 새로운 해킹 방법이 나올 수 있습니다. 특히 사용하는 프레임워크나 플러그인에 보안 패치가 나오면 빠르게 적용해야 합니다.
2. 설정이 바뀔 수 있습니다. 홈페이지를 업데이트하거나 새 기능을 추가하면서 기존 보안 설정이 의도치 않게 변경될 수 있습니다.
3. 구글이 보안을 봅니다. 구글은 안전하지 않은 사이트를 검색 결과에서 내립니다. 보안이 곧 SEO입니다.
저희 비전솔루션은 월 정기 보안 모니터링 서비스를 제공합니다. 한 번 설정하고 잊어버리는 것이 아니라, 매달 상태를 확인하고 이상이 있으면 즉시 알려드립니다.
지금 바로 내 홈페이지 보안을 점검해보세요
보안 진단은 visionc.co.kr에서 무료로 신청하실 수 있습니다. URL 하나만 입력하면 됩니다.
진단 후 받게 되는 것:
- 보안/SEO/성능 3개 영역 점수
- HTTPS, 악성코드, 보안 헤더 등 항목별 상세 분석
- 문제가 있다면 구체적인 개선 방법 제안
- 48시간 내 이메일 발송
의무 계약 없이 상담 후 필요한 서비스를 선택하실 수 있습니다.