Defaults.Exposed

Defaults.Exposed › 보고서

잘못된 설정의 명예의 전당: 웹에서 가장 기이한 보안 레코드 (2026)

게시일 2026-06-29

2026-06-29 기준 수치 · 방법론 v7. 261백만 개의 등급이 매겨진 도메인 전반에 걸친 집계 인구조사 데이터. 아래의 모든 수치는 일회성이 아닌 실제로 반복되는 패턴입니다. 등급을 매기는 방법을 참고하세요.

대부분의 보안 실패는 지루합니다. 끄여 있는 설정 하나입니다. 몇몇은 정말로 우습습니다. 창문에 “임차인 이름을 입력하시오” 표지판이 그대로 붙은 채 건물을 인도하는 것의 디지털 버전입니다. 우리는 261백만 개의 도메인에 등급을 매겼습니다. 다음은 우리가 두 번 보게 만든 기록들입니다.

1. 아무도 이름을 바꾸지 않은 인증서

OpenSSL의 기본 프롬프트로 TLS 인증서를 생성하면서 그냥 엔터만 누르면, 조직 이름은 자리표시자가 됩니다. 이 자리표시자들은 운영에 들어가기 전에 교체되어야 합니다. 그러지 않았습니다:

운영 중인 인증서의 “발급자” 이름사이트
Internet Widgits Pty Ltd244,468
MyCompany Inc.226,830
TRAEFIK DEFAULT CERT108,348
localhost106,086

**“Internet Widgits Pty Ltd“**는 OpenSSL 예제 설정의 문자 그대로의 기본값이며, **244,468**개의 공개 사이트가 그것이 찍힌 인증서를 제공하고 있습니다. 명백한 자리표시자 및 기본 이름 전체에 걸쳐, **685,732**개 사이트가 표지판을 한 번도 바꾸지 않았습니다. 그 모두는 자체 서명되어 있기도 해서 방문자는 브라우저 경고를 받습니다. 그들은 자리표시자 오류를 함께 내보내고 있습니다.

2. 번역 과정에서 사라진 DMARC

DMARC 정책은 정확히 p=none, p=quarantine, 또는 p=reject로 읽혀야만 작동합니다. **48,648**개 도메인이 다른 무언가를 게시했습니다. 정책 단어의 철자가 틀렸거나, 완전히 다른 언어로 작성되었습니다(실제 데이터에는 “none”의 스페인어, 프랑스어, 포르투갈어 표현이 포함됩니다). 의도는 옳았지만 정확한 철자는 그렇지 않았습니다. 그리고 DMARC는 영어 키워드만 받아들이므로, 이 모두가 아무런 보호도 제공하지 않습니다. (개수와 함께 제공되는 전체 최신 목록: 인터넷에서 가장 흔한 DMARC 오타.)

3. SPF 환영 매트

SPF의 본분은 어떤 서버가 당신의 이름으로 메일을 보낼 수 있는지 명시하는 것입니다. **36,014**개 도메인이 레코드를 +all로 끝맺습니다. 이는 정반대를 의미합니다. “인터넷의 모든 서버가 나의 이름으로 보낼 권한이 있다.” 보안 측면에서는 열쇠를 문에 테이프로 붙여 두는 것과 같습니다. 또 다른 **7,958**개는 10회 DNS 조회 한도를 초과하여 조용히 SPF를 망가뜨리며, 그것을 완전히 무효화합니다. (자세히: SPF 잘못된 구성 보고서.)

4. 특별 언급: 자체 서명된 수백만

우스운 이름들 너머로, **3,378,080**개 사이트가 자체 서명 인증서를 제공합니다. 스스로에게 발급한 것으로, 브라우저가 거부합니다. 대개 라우터, 테스트 장비, 또는 실수로 공개 인터넷을 향하게 되어 진짜 인증서를 받은 적이 없는 내부 도구입니다.

우스운 것들의 공통점

여기의 모든 항목은 지루한 실패들과 동일한 근본 원인을 가집니다. 손대지 않은 기본값, 건너뛴 단계, 끝마치지 않은 복사-붙여넣기. 웹은 극적으로 실패하지 않습니다. 관성으로 실패합니다. 한 번에 이름이 바뀌지 않은 자리표시자 하나씩. 좋은 점: 이들 각각은 5분짜리 수정입니다.

자주 묻는 질문

왜 그렇게 많은 인증서가 “Internet Widgits Pty Ltd“라고 표시되나요? OpenSSL 예제 설정의 기본 조직 이름입니다. 누군가 인증서를 생성하고 기본값을 받아들이면, 그 자리표시자가 운영 중인 인증서에 그대로 남습니다. 244,468개 공개 사이트가 그것을 한 번도 바꾸지 않았습니다.

다른 언어로 된 DMARC 정책이 무언가 작동하나요? 아니요. DMARC는 정확한 키워드 none, quarantine, reject만 인식합니다. 정책 단어의 철자가 틀렸거나 다른 언어로 작성된 레코드는 무효이며 무시됩니다. 도메인은 여전히 스푸핑 가능한 상태로 남습니다.

SPF +all은 무엇을 하나요? 인터넷의 모든 서버가 당신의 도메인 이름으로 이메일을 보낼 권한을 부여합니다. SPF가 아예 없는 것보다 더 나쁩니다. 36,014개 도메인이 이것을 가지고 있으며, 거의 항상 실수에 의한 것입니다.

이것들은 드문 예외 사례인가요? 아니요. 각각은 수십만에서 수백만 개의 도메인이며, 261백만 개 도메인 인구조사 전반에 걸쳐 일관되게 발견됩니다. 이들은 흔한 기본값이지 별난 사고가 아닙니다.

당신의 도메인이 다음 판에 들어가지 않도록 확인하세요

이들 대부분은 한 줄짜리 수정입니다. 도메인을 비공개로 무료로 확인하세요. 인터넷이 보는 그대로 당신의 인증서, DMARC, SPF를 확인하세요.

도메인 확인 → · DMARC 오타 → · SPF 잘못된 구성 보고서 → · 인증서 오류 보고서 → · 집계 데이터만. 데이터는 EU에서 저장 및 처리됩니다.