본문으로 건너뛰기
>_ITDITD웹 보안 플랫폼

사이트 종합 보안 진단

소유를 확인한 자신의 사이트를 통째로 종합 점검합니다. 기밀 노출(.env/.git/DB 덤프), TLS 인증서, HTTP 보안 헤더, CSP 내용·CORS 설정 오류, 쿠키 속성, 메일 인증(SPF/DKIM/DMARC), CAA에 더해, 노출된 제품을 이 사이트의 CISA KEV(=실제 악용 중) 카탈로그와 상관 분석 — 종합 등급이 매겨진 1개의 보고서 + 수정 방법 + AI 수정 프롬프트.

이 도구는 이 사이트의 서버가 대상 사이트를 수동적으로 가져옵니다(공격이나 탐색적 스캔은 하지 않습니다). 안전을 위해 소유를 확인할 수 있는 도메인만 점검할 수 있습니다. 내부·사설 주소는 차단합니다.
예제로 시도하기(이 사이트 자체 itdef.net을 진단)

사용 방법

  1. 1

    자신의 사이트 도메인을 입력

    예: example.com. 다른 사람의 사이트는 진단할 수 없습니다(소유 확인이 필수이기 때문).

  2. 2

    소유 확인(세 가지 방법 중 하나)

    화면에 표시되는 전용 토큰을 ①메타 태그(가장 간단·메인 페이지의 <head>에 붙여넣기만) ②DNS TXT 레코드 ③파일(원클릭 다운로드→/.well-known/에 배치) 중 하나로 설치합니다. 확인이 될 때까지 진단은 시작되지 않습니다.

  3. 3

    ‘소유 확인 후 진단’을 누르면 자동으로 종합 점검

    기밀 노출(.env/.git/DB 덤프)·TLS 인증서·헤더·CSP/CORS·쿠키·메일 인증·KEV 상관(악용 중 CVE)을 한꺼번에 점검하고, A~F의 종합 등급을 표시합니다.

  4. 4

    빨강→노랑 순으로 수정

    각 항목에 ‘왜 위험한가’와 수정 방법을 표시합니다. 복사·붙여넣기할 수 있는 AI 수정 프롬프트도 나오므로, ChatGPT / Claude에 붙여넣으면 사용자 환경에 맞는 구체적 절차를 얻을 수 있습니다.

  5. 5

    (선택) 무료 정기 모니터링에 등록

    이메일 주소를 등록하면 상태가 악화되었을 때만 알림. 확인 메일의 링크를 눌러야 시작되며, 언제든 수신 거부할 수 있습니다.

왜 중요한가

이 도구가 가장 먼저 보는 것은, 공개 디렉터리에 두고 잊은 .env나 .git, DB 덤프 같은 ‘기밀 파일의 의도치 않은 공개’입니다. 이것은 이 사이트의 출발점이 된 실제 사고 그 자체로 — 설정의 구멍 하나로 인증 정보나 소스가 그대로 드러납니다. 거기에 TLS 인증서·헤더·쿠키 속성·메일 인증·버전 노출까지 묶어, 소유를 확인한 자신의 사이트만 ‘종합 건강 검진’할 수 있도록 했습니다. 소유 확인을 필수로 한 것은, 다른 사람의 사이트를 임의로 조사하는 ‘공격 도구’가 되지 않도록 하기 위해서입니다.

자주 묻는 질문

Q왜 소유 확인이 필요한가요?
A

기밀 파일의 공개 여부를 조사하는 이상, 다른 사람의 사이트를 겨냥하면 공격 정찰이 될 수 있습니다. DNS TXT나 파일 설치로 ‘내 도메인이다’라고 증명한 경우에만 진단하는 설계로 하여, 제3자 스캔을 구조적으로 방지하고 있습니다.

Q진단으로 사이트에 부하가 걸리나요?
A

아니요. 정해진 소수의 경로를 한 번씩 수동적으로 가져올 뿐, 무차별 대입(퍼징)이나 공격은 하지 않습니다. 브라우저로 몇 페이지를 여는 정도의 부하입니다.

Q종합 등급이 높으면 완전히 안전한가요?
A

아니요. 이 도구는 신호가 강한 대표적 항목을 확인하는 것으로, 모든 위험을 망라하지는 않습니다. 초록이어도 과신하지 말고, 최소 공개·최소 권한 원칙과 함께 의존성(OSV 스캐너)·헤더·메일 인증의 지속적인 점검을 병행하세요.

관련 페이지