금성나씨대종회 홈페이지 보안점검 보고서 (2026.3.26)

■ 점검 개요
- 점검일: 2026년 3월 26일
- 대상: 금성나씨대종회 공식 홈페이지 (금성나씨대종회.com)
- 점검자: 대종회 재무부장 라정호

■ 접속 상태: 정상
- 메인 페이지, 대종회소개, 항렬표, 인터넷족보, 자유게시판 전부 정상 작동
- 방문자 현황: 오늘 48명 / 어제 187명 / 누적 65,207명

■ 발견된 문제점

★★★ [심각] HTTPS 미적용 ★★★
- 전체 사이트가 HTTP로만 운영되고 있음
- 로그인, 회원가입 시 아이디/비밀번호가 암호화 없이 전송됨
- 개인정보 유출 위험. SSL 인증서 설치가 시급함
→ 호스팅 업체에 SSL 인증서 설치를 즉시 요청해야 합니다

★★★ [심각] 보안 헤더 전무 ★★★
- X-Frame-Options, Content-Security-Policy, XSS 보호 등 보안 헤더가 하나도 설정되지 않음
- 클릭재킹, 스크립트 삽입 등 외부 공격에 취약한 상태
→ 호스팅 업체 또는 개발자에게 보안 헤더 추가 요청 필요

★★ [높음] jQuery 구버전 2개 중복 로드 ★★
- jQuery 1.12.4와 1.11.3이 동시에 로드되고 있음
- 둘 다 2016년 버전으로 알려진 보안 취약점 존재
→ 하나로 통일하거나 최신 버전(3.x)으로 업그레이드 필요

★★ [높음] HTML 구조 오류 ★★
- body 태그가 2개 중복 존재 (테마와 본문에서 각각 생성)
- 브라우저 호환성 문제 및 오작동 가능성

★★ [높음] 모바일 화면 미대응 ★★
- viewport 메타태그가 설정되지 않음
- 스마트폰에서 접속 시 화면이 깨지거나 글씨가 매우 작게 표시될 수 있음

[중간] HTTP 리소스 77개 — CSS, JS, 이미지 등 모두 http://로 로드됨
[중간] 세션 쿠키 Secure 미설정 — 네트워크 도청 시 세션 탈취 가능성
[중간] sitemap.xml 없음 — 검색엔진 크롤링 효율 저하
[낮음] robots.txt 부실 — 네이버(Yeti)만 허용, 구글/빙 미설정
[낮음] 서버 정보 노출 — 응답 헤더에 서버 종류(openresty) 노출

■ 긍정적인 부분
- 네이버 검색 노출을 위한 SEO 메타태그 잘 설정됨
- SNS 공유용 Open Graph, Twitter Card 설정됨
- 네이버 웹마스터도구 등록 완료
- 파비콘 및 앱 아이콘 설정됨
- PHP 세션 쿠키에 HttpOnly 설정됨

■ 개선 권장 (우선순위)

1순위 — 보안 (즉시)
- HTTPS(SSL 인증서) 적용: 호스팅 업체에 무료 인증서 설치 요청
- HTTP에서 HTTPS로 자동 리다이렉트 설정

2순위 — 안정성
- jQuery 구버전 정리 (1.11.3 제거, 최신 버전 업그레이드 검토)
- body 태그 중복 수정
- 모바일 viewport 메타태그 추가

3순위 — 검색 노출
- sitemap.xml 생성 및 등록
- robots.txt에 구글, 빙 등 주요 검색엔진 봇 허용 추가

■ 종합 의견
현재 홈페이지는 정상 작동하고 있으나,
HTTPS가 적용되지 않아
회원 개인정보가 평문으로 전송되는 점이
가장 시급한 문제입니다.
호스팅 업체에 SSL 인증서 설치를
요청하시기 바랍니다.
무료 인증서(Let's Encrypt)로도
충분히 해결 가능합니다.

2026. 3. 26.
금성나씨대종회 재무부장 라정호