HSTS와 보안 헤더, 코드 없이 방어력 높이기

인증서를 잘 설치해도, 응답 헤더 설정이 빠지면 공격의 빈틈이 남습니다. SSLCheck의 "보안 헤더" 등급에 들어가는 대표 항목들을 쉽게 정리했습니다.

보안 헤더란?

서버가 페이지를 보낼 때 함께 보내는 "이 사이트는 이렇게 다뤄달라"는 지시문입니다. 브라우저가 이 지시를 읽고 보안 동작을 강제합니다. 코드 변경 없이 설정만으로 방어력을 크게 높일 수 있어 가성비가 좋습니다.

HSTS: 가장 중요한 헤더

HSTS(HTTP Strict Transport Security)는 "앞으로 이 사이트는 무조건 HTTPS로만 접속하라"고 브라우저에 지시합니다.

왜 필요할까요? 사용자가 주소창에 example.com만 치면 처음엔 HTTP로 접속을 시도합니다. 이 찰나에 공격자가 가로채(중간자 공격) 가짜 사이트로 보낼 수 있습니다. HSTS가 적용되면 브라우저가 처음부터 HTTPS로만 가서 이 빈틈을 막습니다.

설정 예: Strict-Transport-Security: max-age=31536000; includeSubDomains

그 밖의 주요 헤더

• Content-Security-Policy (CSP): 허용된 출처의 스크립트·리소스만 실행하게 해 XSS(악성 스크립트 삽입)를 크게 줄입니다. 가장 강력하지만 설정이 까다롭습니다.
• X-Frame-Options: 다른 사이트가 내 페이지를 iframe으로 감싸 클릭을 가로채는 클릭재킹을 막습니다. (SAMEORIGIN)
• X-Content-Type-Options: nosniff로 브라우저가 파일 형식을 멋대로 추측하지 못하게 합니다.
• Referrer-Policy: 다른 사이트로 이동할 때 넘어가는 주소 정보(레퍼러)를 제한해 정보 유출을 줄입니다.

어떻게 적용하나요?

웹서버나 애플리케이션에서 응답 헤더를 추가하면 됩니다. 예를 들어 Nginx는 add_header 지시문으로 설정합니다. CSP는 사이트를 깨뜨릴 수 있으니 점진적으로 적용하는 것을 권합니다.

SSLCheck는 Biz 이상 플랜에서 이런 주요 보안 헤더 설정 여부를 점검해 등급으로 보여주고, 누락된 헤더를 월간 리포트에 정리해 드립니다.

요약

• 보안 헤더 = 코드 없이 설정만으로 방어력을 높이는 "지시문"
• 가장 먼저 HSTS로 HTTPS 강제, 그다음 CSP·X-Frame-Options 등
• 적용 후 외부에서 점검해 누락이 없는지 확인하세요