운영·유지보수

홈페이지 보안 점검, 운영자가 직접 확인할 항목

비개발자 운영자가 직접 점검할 항목과 유지보수사에 요청할 항목을 영역별로 구분한 실무 가이드.

발행 | 2026년 6월 2일7분

프로젝트 시작하기

인사이트를 바탕으로 프로젝트를 구체화해보세요

견적 상담 신청
홈페이지 보안 점검 항목을 운영자·유지보수사 책임 영역으로 나눠 표현한 썸네일

보안은 “알아서 되는 것”이 아닙니다

사이트가 잘 열리니까 보안은 괜찮은 것 같은데, 누가 챙기고 있는 거였더라?

홈페이지를 외주로 제작하고 나면, 보안은 대개 관심 밖으로 밀려납니다. 사이트가 정상적으로 열리고 문의가 들어오는 동안에는 “별문제 없으니 괜찮겠지”라는 생각이 자연스럽게 자리 잡습니다. 그러다 어느 날 검색 결과에 이상한 페이지가 노출되거나, 관리자 페이지 로그인이 안 되거나, 문의폼으로 스팸이 대량으로 쌓이고 나서야 보안이 그동안 누구의 책임이었는지 되묻게 됩니다.

문제는 이 시점에서 책임 소재가 명확하지 않다는 데 있습니다. 제작을 맡긴 업체와의 계약은 이미 끝났고, 호스팅은 또 다른 곳에서 관리하고 있으며, 도메인은 담당자가 바뀌며 갱신 주체가 불분명해진 경우도 많습니다. 보안 사고는 기술적인 문제이기 이전에, “누가 무엇을 지켜보고 있어야 했는가”라는 운영의 공백에서 시작됩니다.

이 글은 보안 전문가나 개발자를 위한 기술 점검표가 아닙니다. 코드를 직접 다루지 않는 운영 담당자가 자기 홈페이지를 놓고 직접 눈으로 확인할 수 있는 항목 외주사·유지보수사에 점검을 요청해야 하는 항목을 구분해, 무엇을 챙기고 무엇을 위임해야 하는지 정리하는 데 목적이 있습니다. 보안 솔루션을 새로 도입하라는 이야기가 아니라, 지금 운영 중인 사이트에서 실제로 손이 닿는 범위를 점검하는 관점입니다.

기업·기관 규모와 무관하게 적용할 수 있도록, 특정 솔루션이나 호스팅 환경에 종속되지 않는 기준으로 정리했습니다. 워드프레스 기반이든 맞춤 개발 사이트든, 콘텐츠 관리 시스템(CMS, 쉽게 말해 관리자 페이지를 통해 콘텐츠를 직접 수정하는 도구)을 쓰든, 점검의 큰 틀은 동일합니다.

방치된 홈페이지가 먼저 표적이 되는 이유

보안 사고라고 하면 대기업의 대규모 개인정보 유출을 먼저 떠올리기 쉽지만, 실제 공격은 규모를 가리지 않습니다. 오히려 보안에 큰 리소스를 투입하기 어려운 중소 규모 사이트가 더 손쉬운 표적이 됩니다. 공격자 입장에서 방치된 사이트는 들이는 노력 대비 성공률이 높은 대상이기 때문입니다.

최근 사고의 양상도 운영자가 알아둘 만합니다. 2025년 들어 두드러진 공격 방식 중 하나는 크리덴셜 스터핑(credential stuffing)입니다. 다른 사이트에서 이미 유출된 아이디·비밀번호 조합을 가져와, 같은 비밀번호를 재사용하는 사용자가 있을 것이라는 전제로 무작위 로그인을 시도하는 방식입니다. 정교한 해킹 기술이 필요하지 않고, 사람들이 여러 사이트에 같은 비밀번호를 쓰는 습관만으로 성립하기 때문에 피해가 반복됩니다. 관리자 계정 역시 예외가 아닙니다.

규모가 큰 기업도 자유롭지 못합니다. 2025년 상반기에는 한 유통 계열사 쇼핑몰에서 수개월에 걸쳐 150만 건이 넘는 개인정보가 빠져나간 정황이 뒤늦게 발견되기도 했습니다. 보안에 상당한 투자를 하는 곳에서도 이런 일이 일어난다는 점은, 자원이 적은 사이트일수록 기본적인 점검의 공백이 그대로 위험으로 이어진다는 의미이기도 합니다.

관계 기관의 집계에서도 해킹으로 인한 개인정보 유출 신고는 최근 늘어나는 추세로 보고되고 있으며, 원인을 보면 정교한 공격 기술뿐 아니라 업무 과실이나 설정 오류 같은 관리상의 빈틈도 적지 않은 비중을 차지합니다. 바꿔 말하면, 대단한 보안 솔루션이 없어서가 아니라 기본적인 관리가 비어 있어서 발생하는 사고가 여전히 많다는 의미입니다. 운영자 입장에서 다행인 점은, 이런 관리상의 빈틈은 대부분 비용 없이 점검으로 메울 수 있는 영역이라는 것입니다.

방치된 사이트가 위험한 이유는 단순히 공격 대상이 되기 때문만은 아닙니다. 사고가 발생해도 한참 동안 인지하지 못한다는 점이 더 큰 문제입니다. 변조된 페이지가 검색 엔진에 그대로 수집되면 회사명을 검색했을 때 엉뚱한 내용이 노출되고, 이는 신뢰도에 직접적인 타격을 줍니다. 개인정보가 포함된 문의 데이터가 빠져나간 경우라면 법적·경제적 책임 문제로까지 번질 수 있습니다. 보안 점검은 사고를 막기 위한 활동인 동시에, 사고가 나더라도 빨리 알아차리기 위한 활동입니다.

점검 전에 정해야 할 한 가지: 누가 무엇을 책임지는가

본격적인 점검 항목으로 들어가기 전에, 운영자가 가장 먼저 정리해야 할 것은 “이 항목을 내가 직접 볼 수 있는가, 아니면 누군가에게 요청해야 하는가”입니다. 홈페이지 보안은 한 사람이 전부 책임지는 영역이 아니라, 운영자·제작사·호스팅사· 유지보수사가 각자의 몫을 나눠 갖는 구조이기 때문입니다. 이 구분이 흐릿하면 모두가 “다른 쪽에서 챙기겠지”라고 생각하다 공백이 생깁니다.

크게 네 가지 책임 주체로 나눠볼 수 있습니다.

  1. 1

    운영자 본인

    계정 비밀번호 관리, 퇴사자 권한 회수, 도메인·인증서 만료일 인지처럼 기술 지식 없이도 챙길 수 있는 영역입니다.

  2. 2

    호스팅·인프라 제공사

    서버 자체의 보안과 네트워크 차원의 방어를 담당합니다.

  3. 3

    제작사 또는 유지보수사

    코드 취약점, 보안 업데이트, 관리자 페이지 접근 통제처럼 개발 영역의 점검이 필요한 부분입니다.

  4. 4

    데이터의 처리 주체

    사이트가 직접 다루는 문의·회원 정보가 어디에 어떻게 저장되는지에 대한 책임입니다.

이 글의 점검 항목은 위 구분을 따라 네 영역으로 나눠 설명합니다. 각 항목마다 운영자가 직접 확인할 수 있는지, 아니면 요청이 필요한지를 함께 표시했습니다. 직접 확인이 가능한 항목은 오늘 바로 점검할 수 있고, 요청이 필요한 항목은 제작사나 유지보수사에 무엇을 물어봐야 하는지 정리하는 용도로 쓰면 됩니다.

여기서 한 가지 짚어둘 점은, 책임 분담의 기준이 계약서에 명시되어 있어야 한다는 것입니다. 유지보수 계약을 맺을 때 보안 점검이 포함 범위에 들어가는지, 사고 발생 시 대응이 계약에 포함되는지는 업체마다 다릅니다. 점검을 통해 “이 항목은 우리가 직접 볼 수 없고 요청해야 하는 영역”이라는 사실을 확인했다면, 그 요청을 받아줄 주체가 계약상 존재하는지까지 확인하는 것이 안전합니다.

접속·전송 보안: 운영자가 눈으로 확인할 수 있는 영역

가장 먼저 점검할 영역이자, 다행히 운영자가 기술 지식 없이도 대부분 직접 확인할 수 있는 부분입니다. 방문자가 사이트에 접속하고 데이터를 주고받는 통로가 안전한지를 보는 것입니다.

확인 1. 주소창에 자물쇠가 표시되는가 (직접 확인 가능)

브라우저 주소창의 사이트 주소가 https://로 시작하고 자물쇠 아이콘이 표시되는지 확인합니다. https는 방문자와 사이트 사이의 데이터를 암호화해 전송하는 방식으로, 이를 가능하게 하는 것이 SSL 인증서(서버 신원을 증명하고 통신을 암호화하는 보안 인증서)입니다. 자물쇠가 깨져 있거나 “주의 요함”, “안전하지 않음” 경고가 뜬다면 인증서가 없거나 만료된 상태입니다. 이 경우 방문자에게 경고 화면이 먼저 노출되어 이탈로 이어지고, 검색 노출에도 불리하게 작용합니다.

확인 2. 인증서 만료일을 알고 있는가 (직접 확인 가능)

자물쇠 아이콘을 클릭하면 인증서의 유효기간을 볼 수 있습니다. SSL 인증서는 영구적이지 않고 일정 주기로 갱신이 필요한데, 갱신을 놓치면 어느 날 갑자기 사이트 전체에 경고가 뜹니다. 자동 갱신이 설정된 환경이라면 운영자가 신경 쓸 필요가 없지만, 수동 갱신 구조라면 만료일을 일정에 등록해두는 것이 안전합니다. 인증서가 자동으로 갱신되는 구조인지 수동인지 모른다면, 이것이 유지보수사에 물어볼 첫 번째 질문입니다.

확인 3. 도메인 만료일을 관리하고 있는가 (직접 확인 가능)

의외로 자주 발생하는 사고가 도메인 갱신 누락입니다. 도메인은 보통 1~2년 단위로 갱신하는데, 결제 카드가 만료되었거나 담당자가 바뀌면서 갱신 알림을 놓치면 사이트가 통째로 접속 불가 상태가 됩니다. 심한 경우 만료된 도메인을 제3자가 선점해버리는 일도 있습니다. 도메인 등록 업체와 만료일, 결제 수단의 유효 여부를 함께 확인해두어야 합니다.

확인 4. 혼합 콘텐츠 경고가 없는가 (확인 후 요청)

사이트는 https인데 내부의 일부 이미지나 스크립트가 http로 불러와지는 경우, 브라우저가 “안전하지 않은 콘텐츠” 경고를 띄웁니다. 운영자가 페이지를 둘러보다 자물쇠가 깨지는 페이지를 발견했다면, 어떤 페이지에서 그런지 메모해 제작사나 유지보수사에 수정을 요청하면 됩니다. 원인 파악과 수정은 개발 영역이지만, 발견은 운영자가 충분히 할 수 있습니다.

이 영역은 비용이 거의 들지 않으면서 방문자가 가장 먼저 마주하는 신뢰 요소입니다. 호스팅과 SSL의 기본 개념이 더 궁금하다면 호스팅과 SSL을 비개발자 관점에서 풀어 설명한 글을 함께 참고하면 도움이 됩니다.

계정·접근 권한: 사고의 가장 흔한 출발점

기술적으로 정교한 해킹보다, 허술한 계정 관리에서 비롯되는 사고가 훨씬 많습니다. 앞서 언급한 크리덴셜 스터핑이 대표적입니다. 이 영역은 대부분 운영자가 직접 관리할 수 있고, 동시에 가장 자주 방치되는 부분이기도 합니다.

확인 1. 관리자 비밀번호가 추측 가능한 수준은 아닌가 (직접 확인 가능)

회사명, 사이트명, admin, 1234, 생성 연도 같은 단어가 들어간 비밀번호는 자동화된 공격에 가장 먼저 뚫립니다. 관리자 계정 비밀번호는 다른 서비스와 겹치지 않는 고유한 값으로, 충분히 길게 설정해야 합니다. 특히 다른 곳에서 쓰던 비밀번호를 그대로 재사용하지 않는 것이 핵심입니다. 한 곳이 유출되면 같은 비밀번호를 쓰는 모든 곳이 함께 위험해지기 때문입니다.

확인 2. 더 이상 쓰지 않는 계정이 남아 있지 않은가 (직접 확인 가능)

관리자 페이지에 로그인해 등록된 계정 목록을 확인합니다. 퇴사한 직원, 계약이 끝난 외주 인력, 과거 제작사 담당자의 계정이 그대로 살아 있는 경우가 많습니다. 사용하지 않는 계정은 곧 관리되지 않는 출입구입니다. 즉시 비활성화하거나 삭제해야 합니다. 외주 제작이 끝난 직후, 제작사가 만들어둔 임시 관리자 계정이 남아 있는지 확인하는 것도 잊지 말아야 합니다.

확인 3. 권한이 역할에 맞게 나뉘어 있는가 (직접 확인 가능)

콘텐츠만 수정하면 되는 담당자에게 시스템 설정 전체를 바꿀 수 있는 최고 관리자 권한이 부여되어 있다면, 그 자체가 위험 요소입니다. 한 계정이 유출되었을 때 피해 범위가 그 권한만큼 넓어지기 때문입니다. 콘텐츠 작성·수정 권한과 시스템 설정 권한을 분리할 수 있는 구조라면, 각 담당자에게 꼭 필요한 만큼만 부여하는 것이 원칙입니다. 권한을 세분화할 수 있는지 여부는 사용하는 관리자 페이지의 설계에 달려 있으므로, 분리가 안 되는 구조라면 유지보수사와 개선을 논의해볼 만합니다.

확인 4. 2단계 인증을 쓸 수 있는가 (확인 후 설정)

비밀번호 하나에만 의존하지 않고, 로그인 시 휴대폰 인증 등 한 단계를 추가하는 2단계 인증은 크리덴셜 스터핑 공격을 막는 가장 효과적인 수단 중 하나입니다. 관리자 페이지가 2단계 인증을 지원한다면 반드시 활성화하고, 지원하지 않는다면 도입 가능성을 유지보수사에 문의하는 것이 좋습니다.

확인 5. 여러 사람이 하나의 계정을 함께 쓰고 있지 않은가 (직접 확인 가능)

담당자가 여럿인데 관리자 계정 하나를 돌려쓰는 경우가 의외로 많습니다. 공용 계정은 비밀번호가 외부로 흘러나가기 쉽고, 문제가 생겼을 때 누가 어떤 작업을 했는지 추적할 수 없다는 점에서 위험합니다. 가능하면 사람마다 계정을 따로 만들고, 권한도 각자의 역할에 맞게 부여하는 것이 원칙입니다. 계정을 개인별로 나눌 수 없는 구조라면, 적어도 비밀번호 공유 범위를 최소한으로 줄이고 담당자가 바뀔 때마다 변경하는 절차라도 두어야 합니다.

계정 관리는 비용이 들지 않으면서 사고 가능성을 크게 줄이는 영역입니다. 보안 예산을 늘리기 전에 이 항목부터 점검하는 것이 순서입니다.

데이터·개인정보: 외주사와 함께 확인해야 할 영역

홈페이지가 단순한 소개용 페이지를 넘어 문의폼이나 회원 기능을 갖추는 순간, 보안의 무게중심은 개인정보로 옮겨갑니다. 이 영역은 운영자가 단독으로 판단하기 어렵고, 제작사·유지보수사와 함께 확인해야 하는 부분이 많습니다.

확인 1. 문의·신청 데이터가 어디에 저장되는가 (확인 후 요청)

방문자가 문의폼에 남긴 이름·연락처·문의 내용이 정확히 어디에 쌓이는지 알고 있어야 합니다. 관리자 페이지 안에 저장되는지, 별도의 데이터베이스에 들어가는지, 혹은 이메일로만 전달되고 사라지는지에 따라 관리 방식과 위험 수준이 달라집니다. 저장 위치를 모른 채 운영하고 있다면, 사고가 나도 무엇이 빠져나갔는지조차 파악하기 어렵습니다. 제작사에 데이터 저장 구조를 한 번 정리해달라고 요청해두면 좋습니다.

확인 2. 수집하는 개인정보가 꼭 필요한 만큼인가 (직접 점검 가능)

가장 확실한 개인정보 보호는 애초에 적게 수집하는 것입니다. 문의폼에 주민등록번호, 상세 주소, 생년월일처럼 실제로는 쓰지 않는 항목을 습관적으로 받고 있지 않은지 점검합니다. 보관하지 않는 정보는 유출될 일도 없습니다. 운영에 꼭 필요한 항목만 남기는 것이 비용 없는 가장 좋은 방어입니다.

확인 3. 개인정보 처리방침과 수집 동의 절차가 갖춰져 있는가 (확인 후 보완)

개인정보를 수집하는 사이트라면 처리방침 안내와 수집·이용 동의 절차를 갖추는 것이 기본입니다. 문의폼에 동의 항목이 있는지, 처리방침 페이지가 실제로 연결되어 있는지 확인합니다. 이 부분은 법적 요건과 맞닿아 있으므로, 미비하다면 제작사와 함께 보완하는 것이 안전합니다.

확인 4. 공개 콘텐츠와 개인정보가 분리되어 관리되는가 (요청·구조 점검)

이 항목은 사이트의 설계 구조와 관련된 부분입니다. 공지·게시물 같은 공개 콘텐츠와, 회원 정보·문의 내역 같은 개인정보가 같은 저장소에서 같은 수준의 접근 권한으로 관리되고 있다면, 한쪽의 취약점이 다른 쪽으로 번질 위험이 있습니다. 잘 설계된 구조에서는 공개 콘텐츠는 누구나 읽을 수 있되 외부에서 함부로 쓸 수 없도록 막혀 있고, 개인정보는 인증된 접근만 허용되도록 물리적으로 분리되어 있습니다. 운영자가 직접 확인하기는 어렵지만, “우리 사이트는 공개 데이터와 개인정보가 분리되어 있나요?”라는 질문을 던지는 것만으로도 점검의 출발점이 됩니다.

데이터 영역은 사고 발생 시 파급력이 가장 큰 만큼, 운영자 단독 판단보다 제작사·유지보수 사와의 협의를 전제로 접근하는 것이 바람직합니다.

코드·서버 보안: 유지보수사의 책임 영역

마지막 영역은 운영자가 직접 손대기 어렵고, 대부분 유지보수사나 인프라 제공사의 책임에 속합니다. 그렇다고 운영자가 몰라도 되는 것은 아닙니다. “이 항목들이 관리되고 있는가”를 확인하고 요청하는 것까지가 운영자의 몫입니다.

확인 1. 보안 업데이트가 정기적으로 이뤄지는가 (요청·계약 확인)

사이트를 구성하는 소프트웨어와 각종 구성 요소는 시간이 지나면 알려진 취약점이 쌓입니다. 특히 외부에서 가져다 쓰는 플러그인이나 확장 기능이 많은 환경일수록, 업데이트를 미루는 동안 위험이 누적됩니다. 보안 업데이트가 누구의 책임으로, 어느 주기로 이뤄지는지를 유지 보수 계약에서 확인해야 합니다. “사이트는 한 번 만들면 끝”이라는 인식이 가장 위험한 지점이 바로 여기입니다.

확인 2. 관리자 페이지 접근이 통제되고 있는가 (요청·점검)

관리자 페이지 주소가 누구나 추측할 수 있게 노출되어 있는지, 무차별 로그인 시도를 일정 횟수 이상 차단하는 장치가 있는지는 운영자가 확인하기 어렵습니다. 유지보수사에 관리자 접근 통제가 어떻게 되어 있는지 점검을 요청하는 것이 적절합니다.

확인 3. 백업이 실제로 작동하고 복구 가능한가 (요청·확인)

사고가 났을 때 마지막 방어선은 백업입니다. 그런데 백업이 설정만 되어 있고 한 번도 복구를 테스트해본 적이 없다면, 정작 필요한 순간에 작동하지 않을 수 있습니다. 백업 주기와 보관 위치, 그리고 실제로 복구가 가능한 상태인지를 유지보수사에 확인해 두어야 합니다. 백업은 보안 사고뿐 아니라 단순 장애나 실수로 인한 데이터 손실에도 대비하는 장치입니다.

확인 4. 사고 발생 시 연락 체계와 대응 절차가 있는가 (계약 확인)

사이트가 변조되거나 다운되었을 때 누구에게 연락해야 하는지, 그 대응이 얼마나 빨리 이뤄지는지는 사고 피해 규모를 좌우합니다. 평소에는 보이지 않지만, 사고 순간 가장 중요해 지는 항목입니다. 유지보수 계약에 장애·사고 대응이 포함되어 있는지, 연락 가능한 시간대와 응답 기준이 명시되어 있는지 확인합니다.

이 영역에서 핵심은 운영자가 직접 해결하는 것이 아니라, 관리 주체가 명확히 존재하는지를 확인하는 일입니다. 제작만 외주로 맡기고 이후 관리 주체가 없는 상태라면, 위 항목들은 사실상 아무도 책임지지 않는 공백으로 남습니다. 사이트의 규모와 다루는 데이터에 따라 적정한 유지보수 범위가 다르므로, 현재 운영 상황에 맞는 점검·관리 범위가 궁금하다면 운영 상황에 맞는 견적을 확인해 보는 것도 한 방법입니다.

우선순위 정리와 두 번의 점검 시점

지금까지 네 영역에 걸쳐 항목을 살펴봤습니다. 모든 항목을 한 번에 완벽하게 갖추려 하면 부담스러우니, 운영자 입장에서 우선순위를 정리하면 다음과 같습니다.

먼저, 비용 없이 오늘 할 수 있는 것부터 합니다. 관리자 비밀번호 점검, 쓰지 않는 계정 정리, 수집 항목 최소화, SSL·도메인 만료일 확인은 비용이 들지 않으면서 사고 가능성을 가장 크게 줄이는 항목입니다. 보안 강화라고 하면 새로운 솔루션 도입을 떠올리기 쉽지만, 실제로 사고의 다수는 이 기본 항목의 공백에서 시작됩니다.

다음으로, 요청해서 확인할 것을 정리합니다. 데이터 저장 구조, 보안 업데이트 주기, 백업 복구 가능 여부, 관리자 접근 통제는 운영자가 직접 볼 수 없으므로, 제작사·유지 보수사에 물어볼 질문 목록으로 만들어두면 됩니다. 답이 명확하게 돌아오지 않는 항목이 있다면, 그 자체가 관리 공백의 신호입니다.

점검 자체는 일회성으로 끝나지 않지만, 특히 놓치면 안 되는 두 시점이 있습니다.

  1. 1

    외주 제작이 끝나고 사이트를 인계받는 시점

    임시 계정 정리, 관리자 권한 이관, 도메인·인증서 소유권 확인, 데이터 저장 구조 설명을 한 번에 정리해두면 이후 운영이 훨씬 수월해집니다.

  2. 2

    담당자가 바뀌거나 유지보수 계약이 갱신·종료되는 시점

    책임 주체가 바뀌는 순간이 공백이 가장 잘 생기는 때입니다. 인계와 계약 갱신 자리에서 점검 항목을 함께 확인하세요.

오늘 할 수 있는 점검부터 시작해, 외주사·유지보수사에 물어볼 항목을 분리해 두면 보안은 ‘새로 도입할 것’이 아니라 ‘이미 운영 중인 사이트에서 메우는 것’이 됩니다. 운영 단계에서 유지보수 범위를 어디까지 두는 게 적정한지 더 살펴보고 싶다면 유지보수 가이드를 함께 참고하시면 좋습니다.

  • 관리자 비밀번호가 추측 가능한 단어를 포함하고 있지 않다
  • 퇴사자·외주 종료자·임시 관리자 계정이 정리되어 있다
  • 담당자별로 권한이 분리되어 있고 공용 계정 사용을 최소화했다
  • 주소창 자물쇠와 SSL 인증서 만료일을 확인할 수 있다
  • 도메인 만료일과 결제 수단의 유효 여부를 알고 있다
  • 문의·신청 데이터가 어디에 저장되는지 제작사 답변을 받았다
  • 수집하는 개인정보 항목이 실제 필요한 만큼인지 점검했다
  • 보안 업데이트·백업·관리자 접근 통제의 관리 주체가 계약에 명시되어 있다

핵심 정리

홈페이지 보안은 한 사람이 전부 책임지는 일이 아니라, 운영자가 직접 챙길 항목과 외주사·유지보수사에 요청할 항목을 명확히 나누는 데서 시작됩니다.

비용 없이 오늘 점검할 수 있는 계정·접속 영역부터 정리하고, 직접 볼 수 없는 코드·데이터 영역은 “관리 주체가 명확히 존재하는가”를 확인하는 것이 운영자가 할 수 있는 가장 현실적인 보안입니다.

스마트견적
제작문의