Defaults.Exposed › 보고서
HTTP 보안 헤더 성적표: 2026년 웹의 점수는
게시일 2026-06-29
2026-06-29 기준 수치 · 방법론 v7. 등급이 매겨진 261백만 개 도메인 전반의 집계 센서스 데이터입니다. 헤더 점검은 도달할 수 있었던 응답에서 관찰됩니다. 등급 산정 방식을 참조하세요.
HTTP 보안 헤더는 웹에서 가장 저렴한 방어 수단 중 하나입니다 — 몇 줄의 구성, 비용 없음 — 그리고 데이터는 이것이 거의 보편적으로 누락된다는 것을 보여줍니다. 261백만 개 도메인 중에서 단 **4.03%**만이 모든 핵심 헤더를 올바르게 설정합니다. 각 헤더는 구체적이고 실제적인 공격을 차단합니다 — 클릭재킹, 콘텐츠 주입, 프로토콜 다운그레이드, 리퍼러 유출 — 그리고 각각은 대다수 사이트에서 빠져 있습니다.
성적표
높을수록 좋습니다 — 각 헤더를 올바르게 설정한 도메인의 비율. 2026-06-29 기준:
| 헤더 | 막는 것 | 설정한 도메인 |
|---|---|---|
| HSTS (Strict-Transport-Security) | HTTPS에서 HTTP로의 다운그레이드 | HTTPS 사이트의 22.91% |
| Content-Security-Policy | 크로스 사이트 스크립팅 / 콘텐츠 주입 | 8.87% |
| X-Frame-Options / frame-ancestors | 클릭재킹 | 14.48% |
| X-Content-Type-Options (nosniff) | MIME 유형 혼동 공격 | 16.65% |
| Referrer-Policy | 방문자 URL을 제3자에게 유출 | 10.10% |
| 위의 모든 것(“기본적으로 안전”) | 전체 세트 | 4.03% |
Content-Security-Policy — 크로스 사이트 스크립팅에 대한 가장 강력한 방어 — 가 대표적인 실패입니다: 도메인의 단 **8.87%**만이 효과적인 것을 제공합니다. 그리고 단 **4.03%**만이 전체 세트를 올바르게 설정합니다.
무료인데 왜 이렇게 낮을까요?
대부분의 서버와 플랫폼은 헤더를 기본으로 설치하지 않으므로, 누군가 의도적으로 추가할 때만 나타납니다. 누락에 대한 무서운 경고도 없습니다 — 만료된 인증서와 달리, 누락된 헤더는 악용되기 직전까지 사이트 소유자와 방문자에게 보이지 않습니다. 바로 그 보이지 않음이 가장 중요한 헤더들의 채택률이 한 자릿수에 머무는 이유입니다.
어떤 헤더를 우선시해야 할까요?
대부분의 사이트의 경우, 순서대로:
- HSTS — HTTPS에 올라섰다면 고정하세요. HSTS 수정.
- 클릭재킹 보호 — 페이지가 프레임에 갇히는 것을 막는 한 줄짜리 헤더. 클릭재킹 수정.
- X-Content-Type-Options: nosniff와 Referrer-Policy — 추가하기 아주 간단합니다. MIME 스니핑 · Referrer-Policy.
- Content-Security-Policy — 가장 강력하고 가장 많은 작업이 필요합니다; 신중하게 할 가치가 있습니다. CSP 수정.
자주 묻는 질문
HTTP 보안 헤더란 무엇인가요? 서버가 각 페이지와 함께 보내 브라우저에 보호를 적용하도록 지시하는 명령입니다 — 프레이밍 차단, 혼합 콘텐츠 거부, 스크립트 제한. 소프트웨어가 아니라 무료 구성입니다.
왜 웹의 4.03%만이 이들을 모두 설정하나요? 선택 사항이고 보이지 않기 때문입니다. 누락되어도 아무것도 깨지거나 경고하지 않으므로 대부분의 사이트는 절대 추가하지 않습니다 — 공격이 그 틈을 악용할 때까지.
가장 중요한 헤더는 무엇인가요? HSTS와 Content-Security-Policy가 가장 많은 보호를 제공합니다. CSP는 크로스 사이트 스크립팅에 대한 가장 강력한 방어이지만 배포에 가장 많은 주의가 필요합니다.
내 사이트에 어떤 헤더가 빠졌는지 어떻게 확인하나요? 무료, 비공개 점검을 실행하세요 (아래) — 각 헤더와 설정 여부를 나열합니다.
보안 헤더를 무료로 점검하세요
전체 헤더 성적표를 — 그리고 정확히 무엇을 추가해야 하는지를 — 비공개로, 소유자 전용으로 확인하세요.
도메인 점검 → · CSP 수정 → · HSTS 수정 → · 등급 산정 방식 → · 집계 데이터만 사용. 데이터는 EU에서 저장 및 처리됩니다.