Defaults.Exposed › 보고서
인터넷 전체에 등급을 매긴 방법: A~F 도메인 보안 방법론 (2026)
게시일 2026-06-28
참고 페이지 · 방법론 v7 · 데이터 기준일 2026-06-28. 이 페이지는 이 사이트의 모든 수치가 어떻게 산출되는지 설명합니다. 게시된 모든 통계는 집계 데이터이며, 개별 도메인의 등급은 검증된 소유자에게만 표시됩니다.
Defaults.Exposed는 누구의 시스템도 건드리지 않고 오로지 공개 인터넷에서만 채점하는, 외부에서 관찰 가능한 34개의 보안 점검을 기준으로 도메인에 A+부터 F까지 등급을 매깁니다. 이 페이지는 그 작동 방식에 대한 완전하고 쉬운 설명입니다: 무엇을 측정하는지, 등급이 어떻게 계산되는지, 데이터가 알려줄 수 있는 것과 없는 것, 그리고 우리가 스스로 지키는 윤리 규칙. 보안 등급은 그 뒤에 있는 방법만큼만 신뢰할 수 있으므로, 이 페이지는 의도적으로 투명하게 작성되었습니다.
우리가 측정하는 것
모든 도메인은 다섯 가지 범주로 묶인 34개의 점검에 대해 평가됩니다. 각 점검은 누구나 외부에서 관찰할 수 있는 것입니다 — 비공개 시스템에 대한 스캔도, 로그인도, 침입도 없습니다.
- 이메일 인증 — 이 도메인은 이메일에서 사칭될 수 있는가? SPF, DKIM, DMARC(그리고 DMARC가 실제로 시행 상태인지 여부)와 메일(MX) 설정을 포함합니다.
- TLS 및 인증서 — 사이트가 제대로 암호화되어 있는가? 인증서 유효성 및 호스트명 일치, 최신 TLS 버전, HSTS를 포함합니다.
- 웹 보안 헤더 — 사이트가 브라우저를 방어하는가? Content-Security-Policy, 클릭재킹 방지(X-Frame-Options), MIME 스니핑 방지, Referrer-Policy 및 cross-origin 헤더를 포함합니다.
- DNS — 네이밍 계층이 강화되어 있는가? DNSSEC, CAA, 네임서버 구성을 포함합니다.
- 인프라 — 역방향 DNS 및 IPv6 지원과 같은 보조 신호.
34개의 점검 중 일부는 채점 대상(등급에 영향)이고 나머지는 정보 제공용(맥락을 위해 보고되지만 감점되지 않음)입니다.
점검이 채점되는 방식: 통과, 실패, 또는 해당 없음
각 점검은 세 가지 결과 중 하나로 귀결됩니다:
- 통과 — 보호 조치가 존재하고 올바릅니다.
- 실패 — 보호 조치가 없거나 손상되었습니다. 실제 실패는 실제 실패입니다: 시행된 SPF와 DMARC가 없는 도메인은 우리가 어떻게 셈했는지 때문이 아니라 실제로 위조될 수 있기 때문에 낮은 점수를 받습니다.
- 해당 없음 — 이 점검을 이 도메인에 대해 실제로 판단할 수 없습니다. 해당 없음 결과는 등급에서 제외되며, 결코 도메인에 불리하게 작용하지 않습니다.
이 마지막 점이 중요합니다: 우리는 공정하게 평가할 수 없었던 것에 대해 도메인에 벌점을 주지 않습니다.
문자 등급이 계산되는 방식
등급은 A+, A, B, C, D, F로 매겨집니다. 등급은 도메인이 중요한 격차를 얼마나 완전하게 메우는지를 반영합니다 — 실제 영향이 가장 큰 점검(이메일 위조와 전송 보안은 장식적인 헤더보다 더 큰 비중을 차지함)에 가중치를 둡니다. 영향이 큰 기본 사항을 제대로 처리하고 사소한 격차만 남긴 도메인은 높은 등급을 받고, 사칭을 허용하는 기본 사항에 실패한 도메인은 F를 받습니다.
동일한 방법이 모든 도메인에 동일하게 적용되기 때문에, 등급은 전체 모집단에 걸쳐 비교 가능합니다 — 이것이 (TLD별, 국가별, 산업별) 리그 테이블을 의미 있게 만드는 것입니다.
데이터셋은 얼마나 큰가?
우리는 333백만 개 도메인의 인벤토리를 추적하고, 현재 확인(resolve)되는 약 260백만 개의 활성 모집단에 등급을 매깁니다. 게시된 통계는 빌드 시점에 이 모집단에서 계산되며, 데이터셋의 기준일을 함께 표시하여 수치가 얼마나 최신인지 항상 알 수 있습니다.
데이터는 얼마나 최신인가?
스캐닝 플릿은 지속적으로 가동됩니다. 전체 모집단은 정기적인 주기로 갱신되며, 일부 TLD는 더 자주 재측정되므로, 이 사이트의 수치는 일회성 스냅샷이 아니라 살아 있는 측정값입니다. 모든 보고서는 기준일을 표시하며, 주력 연구는 시간에 따른 추세를 추적할 수 있도록 반복 발행본으로 게시됩니다.
데이터가 알려줄 수 있는 것 — 그리고 없는 것
우리는 한계가 발견 결과만큼 중요하다고 믿습니다:
- 지리와 산업은 회사 등록이 아니라 도메인의 끝부분에서 도출됩니다. 한 국가의 수치는 그 국가의 국가 도메인 끝부분(ccTLD)을 기반으로 하고, 한 산업의 수치는 산업별 끝부분을 기반으로 합니다.
.com과 같은 일반 끝부분을 사용하는 회사는 이 규모에서 국가나 부문에 귀속될 수 없습니다. 이 세그먼트는 이 주의사항을 명시한 채로, 모집단을 비교하기에 “충분히 정확”합니다. - 우리는 조직이 아니라 도메인을 측정합니다. 한 회사가 많은 도메인을 소유할 수 있으며, 우리는 각 도메인을 그 자체의 구성에 따라 채점합니다.
- 외부 관점만. 우리는 공개 인터넷에서 관찰 가능한 것을 평가합니다. 우리는 로그인 뒤에 있는 것을 보지 않으며, 보려고 시도하지도 않습니다.
우리의 규칙: 집계 전용, 소유자 비공개, EU 거주
세 가지 약속이 우리가 게시하는 모든 것을 지배합니다:
- 집계 전용. 우리는 모집단 패턴을 게시합니다 — TLD별, 국가별, 산업별 리그 테이블. 우리는 개별 기업과 그 등급을 명시하는 색인 페이지를 결코 게시하지 않습니다.
- 소유자 비공개. 개별 도메인의 등급과 점검별 분석은 그것을 확인하는 검증된 소유자에게만 표시됩니다.
- EU 데이터 거주. 모든 데이터는 EU 내에서 저장 및 처리됩니다 — 이는 컴플라이언스 자세이자 의도적인 신뢰 약속입니다.
자주 묻는 질문
Defaults.Exposed는 도메인의 보안 점수를 어떻게 계산하나요? 외부에서 관찰 가능한 34개의 점검(이메일 인증, TLS, 웹 헤더, DNS 및 인프라)을 실행하고, 각각을 통과 / 실패 / 해당 없음으로 채점하며, 이를 실제 영향 쪽으로 가중치를 두어 A+부터 F까지의 등급을 산출합니다.
등급을 매기는 도메인을 스캔하거나 해킹하나요? 아니요. 모든 점검은 공개 인터넷에서 관찰 가능합니다 — 수신 메일 서버나 방문자의 브라우저가 보게 될 동일한 정보입니다. 로그인, 침입, 또는 비공개 시스템에 대한 접근은 없습니다.
도메인이 F를 받을 수 있는 이유는? 가장 흔하게는 시행된 SPF와 DMARC가 없어서 이메일에서 사칭될 수 있기 때문입니다 — 실제로 외부에서 검증 가능한 약점입니다.
특정 회사 도메인의 등급을 볼 수 있나요? 귀하 자신의 도메인이고 소유권을 검증하는 경우에만 가능합니다. 우리는 개별 기업의 등급을 결코 게시하지 않습니다.
데이터는 얼마나 자주 업데이트되나요? 지속적으로요. 전체 모집단은 정기적인 주기로 갱신되며, 모든 수치는 얼마나 최신인지 알 수 있도록 “기준일”로 날짜가 표시됩니다.
직접 도메인을 점검해 보세요
방법을 이해하는 가장 빠른 방법은 직접 실행해 보는 것입니다. 귀하의 도메인을 비공개로 무료로 점검하고, 쉬운 설명과 해결책과 함께 채점된 34개의 점검을 모두 확인해 보세요.
도메인 점검하기 → · 인터넷의 등급 곡선 → · 집계 데이터만. 데이터는 EU에서 저장 및 처리됩니다.