120개의 웹사이트를 검토했습니다: 이러한 보안 실수가 계속 나타났습니다

Source: Dev.to

Overview

저는 소규모 기업과 초기 단계 스타트업이 기본적인 웹 보안을 어떻게 다루는지 조사하기 위해, 소유자의 명시적인 동의를 받은 120개의 서로 다른 웹사이트를 검토했습니다. 이 연구는 자동화 도구와 간단한 수동 검사를 결합했으며, 여러 반복되는 패턴을 밝혀냈습니다.

Key Findings

• Missing HTTP security headers – 사이트의 68 % 정도가 최소 하나 이상의 권장 헤더(예: 콘텐츠 타입 처리나 프레임 보호와 관련된 헤더)를 누락하고 있었습니다.
• Exposed server or framework information – 약 **42 %**가 불필요한 세부 정보를 노출했으며, 이는 대부분 하드닝되지 않은 기본 설정 때문이었습니다.
• Sub‑optimal HTTPS/TLS setups – 대략 **23 %**가 현재 베스트 프랙티스와 완전히 일치하지 않는 TLS 구성을 가지고 있었으며, 구식 프로토콜을 지원하거나 HSTS와 같은 보호 기능을 누락하고 있었습니다.

많은 경우, 하나의 사이트가 여러 문제를 동시에 가지고 있어 전체 위험을 가중시켰습니다.

Common Issues

이 문제들은 고급 취약점이 아니라, 웹사이트를 처음 배포할 때 흔히 발생하고 개발자가 코드를 유지보수하지 않을 때 지속되는 기본적인 잘못된 설정에서 비롯됩니다. 보안을 출시 시점에 한 번만 수행하는 작업으로 오해하는 경우가 많으며, 사이트가 진화함에 따라 지속적인 책임이 필요합니다.

Conclusion

이러한 실수가 반복되는 것을 보며 저는 Secuiru라는 에이전시를 설립하게 되었으며, 이는 심각한 문제로 발전하기 전에 일상적인 보안 잘못된 설정을 조기에 감지하고 수정하는 데 중점을 두고 있습니다.