고객 이름과 연락처를 받는 홈페이지라면 최소한 네 가지는 갖춰야 합니다. HTTPS(SSL) 적용, 정기 업데이트와 백업, 개인정보 최소 수집, 관리자 계정 관리입니다. 거창한 보안 장비 이야기가 아니라, 실제 사고의 대부분이 이 네 가지 선에서 갈립니다. 문의 폼 하나만 있어도 개인정보를 처리하는 사이트가 되어 법적 책임이 생긴다는 점부터 기억하세요.
HTTPS는 선택이 아닙니다
주소창에 자물쇠가 없는 사이트는 고객이 문의 폼에 입력한 연락처가 암호화 없이 전송됩니다. 크롬이 ‘주의 요함’ 경고를 띄워 신뢰도도 떨어집니다. 요즘은 무료 인증서(Let’s Encrypt)로 비용 없이 적용할 수 있으니, 아직 http로 열리는 페이지가 있다면 가장 먼저 처리할 항목입니다.
업데이트와 백업이 사고를 가릅니다
워드프레스 해킹 사고의 다수는 오래된 플러그인의 알려진 취약점을 자동 공격 봇이 훑다가 발생합니다. 코어·테마·플러그인을 주기적으로 업데이트하고, 안 쓰는 플러그인은 비활성화가 아니라 삭제하세요. 백업은 서버 밖 외부 저장소에 두고, 실제로 복원되는지 한 번은 시험해 봐야 합니다. 이런 관리를 직접 할지 맡길지의 비용 비교는 홈페이지 유지보수 비용 가이드에서 다뤘습니다.
관리자 아이디를 admin으로 두고 다른 곳과 같은 비밀번호를 쓰는 것이 가장 흔한 침입 경로입니다. 아이디 변경과 2단계 인증만 걸어도 자동 공격 대부분이 막힙니다.
개인정보는 적게 받을수록 안전합니다
문의 폼에서 주소와 생년월일까지 받는 사이트를 상담 중에 자주 보는데, 쓰지도 않을 항목은 받는 순간부터 관리 부담입니다. 이름·연락처처럼 꼭 필요한 것만 수집하고, 개인정보처리방침 페이지를 갖추고, 오래된 문의 데이터는 주기적으로 파기하세요. 유출 사고가 났을 때는 ‘많이 갖고 있었다’는 사실 자체가 책임의 크기가 됩니다.
※ 직원이 퇴사하면 홈페이지 관리자 계정도 함께 정리해야 합니다. 퇴사자 계정 방치는 기술이 아니라 습관의 문제이지만, 실제 사고 유형으로는 가장 흔한 축에 속합니다.
IDC.KR이 제작하는 홈페이지는 SSL 적용과 기본 보안 설정을 정찰제 요금 안에 포함해 별도 추가 비용이 없습니다. 지금 운영 중인 사이트의 보안 상태가 궁금하시면 문의 페이지에 주소만 남겨 주셔도 확인해 드립니다.
