Defaults.Exposed

Defaults.Exposed › 보고서

서버 헤더가 공격자에게 알려주는 것: 스택 노출 보고서 (2026)

게시일 2026-06-29

2026-06-29 기준 수치 · 방법론 v7. 관찰된 HTTP 응답 헤더(Server, X-Powered-By)에서 수집한 집계 인구조사 데이터입니다. 등급 산정 방식을 확인하세요.

웹의 대부분은 자신이 무엇을 실행하고 있는지 자발적으로 드러냅니다: 사이트의 71.4%가 응답 헤더에 자신의 웹 서버 이름을 표시하고, 8.1%는 한 걸음 더 나아가 — 종종 정확한 버전과 함께 — 애플리케이션 스택을 드러냅니다. 이 중 어느 것도 필수가 아니며, 모든 정보가 무엇을 표적으로 삼을지 결정하는 공격자에게 공짜 힌트가 됩니다. 버전 노출이 가장 심각합니다: 수명 종료 소프트웨어를 광고하는 헤더는 초대장과 같습니다.

웹이 알리는 것

Server 헤더는 웹 서버 소프트웨어의 이름을 표시합니다. 2026-06-29 기준, 헤더를 보내는 71.4%의 사이트 중 가장 흔한 값은 다음과 같습니다:

Server 헤더헤더를 보내는 사이트 중 비율
cloudflare21.7%
nginx16.0%
apache14.9%
openresty9.2%
squarespace4.9%

서버 이름만으로는 위험이 낮습니다. 진짜 노출은 **X-Powered-By**로, 사이트의 8.1%가 이를 보내며 — 종종 정확한 버전을 포함합니다. 가장 흔한 값에는 asp.netphp/7.4.33 같은 특정 PHP 빌드가 포함됩니다.

버전 노출이 중요한 이유

알려진 취약점을 찾아 인터넷을 스캔하는 공격자는 바로 이 헤더로 필터링합니다. php/7.4.33를 광고하는 사이트 — 더 이상 보안 패치를 받지 못하는 수명 종료 PHP 버전 — 는 단 한 번의 탐색도 하기 전에 모든 스캐너에게 악용 가능할 수 있다고 알리는 셈입니다. 노출이 취약점을 만드는 것은 아니지만, 공격자의 정찰 비용을 없애고 패치되지 않은 사이트를 목록 맨 위로 끌어올립니다.

해결책은 무료이며 방문자에게 아무런 단점이 없습니다: 이러한 헤더를 억제하거나 일반화하세요. 스택 버전을 대중에게 알릴 기능적 이유는 없습니다.

스택 누출을 막는 방법

  1. X-Powered-By를 완전히 제거하세요 — 방문자에게는 아무 목적도 없습니다. (PHP/프레임워크의 지시문 하나 또는 프록시에서의 헤더 제거.)
  2. Server를 일반화하세요 — 웹 서버나 CDN에서 버전 또는 헤더를 제거하세요.
  3. 무엇보다 스택을 패치된 상태로 유지하세요 — 버전을 숨기는 것은 시간을 벌 뿐, 업데이트를 대체하지 않습니다.
  4. 다시 확인하여 헤더가 사라졌는지 확인하세요.

자주 묻는 질문

X-Powered-By 헤더란 무엇인가요? 애플리케이션 프레임워크와 종종 그 정확한 버전(예: 특정 PHP 빌드)을 광고하는 응답 헤더입니다. 선택 사항이며 방문자에게는 아무런 이점이 없고 — 오직 공격자에게만 이점이 됩니다. 사이트의 8.1%가 이를 보냅니다.

내 서버 소프트웨어를 드러내는 것이 취약점인가요? 그 자체로는 아니지만 정보 노출입니다: 공격자가 귀하의 특정 스택과 버전에 있는 알려진 취약점을 필터링하여 정찰을 0으로 줄이게 합니다. 모범 사례는 이를 억제하는 것입니다.

Server 헤더를 숨겨야 하나요? 일반화하는 것(버전 제거)은 좋은 관행입니다. 더 큰 이득은 X-Powered-By를 제거하고 소프트웨어를 패치된 상태로 유지하는 것입니다.

이것이 SEO나 방문자에게 해를 끼치나요? 아니요. 이러한 헤더는 사용자에게 보이지 않으며 검색 엔진과 무관합니다. 제거하는 것은 순전히 이득입니다.

헤더가 무엇을 드러내는지 확인하세요

귀하의 사이트가 무엇을 알리는지 — 그리고 무엇을 제거해야 하는지 — 정확히 확인하세요. 무료이며 비공개입니다.

도메인 확인하기 → · HTTP 보안 헤더 성적표 → · 집계 데이터만. 데이터는 EU에서 저장 및 처리됩니다.