제공 서비스
웹 보안 점검 소스코드 분석 (SAST) CRM 보안 진단 다크웹 유출 조회
요금제 스토어 블로그 파트너 마이페이지 무료 보안 점검
가이드 2026.03.18 · 조회 131

Bolt로 만든 사이트 보안 점검 방법 (2026 가이드)

Bolt.new로 사이트를 만들었다면 반드시 보안 점검이 필요합니다. 비개발자도 따라할 수 있는 단계별 점검 가이드를 소개합니다.

Bolt.new는 텍스트 프롬프트만으로 완성도 높은 웹 앱을 만들 수 있는 강력한 AI 코딩 도구입니다. 2025~2026년 들어 비개발자 창업자, 마케터, 1인 기업가들 사이에서 폭발적인 인기를 끌고 있죠.

그런데 Bolt로 사이트를 배포하고 나면 한 가지 중요한 질문이 남습니다. "이 사이트, 안전한가?"

Bolt는 기능 구현에 최적화된 도구입니다. 보안은 사용자가 별도로 챙겨야 합니다. 이 가이드에서는 Bolt로 만든 사이트를 배포 전후로 점검하는 실용적인 방법을 단계별로 설명합니다.

STEP 1 — 비밀키 노출 여부 확인

Bolt 프로젝트에서 가장 먼저 확인해야 할 것은 API 키와 비밀번호가 코드에 직접 들어가 있는지 여부입니다.

확인 방법

  • Bolt 프로젝트의 파일 목록에서 .env 파일이 있는지 확인합니다.
  • .env가 있다면 그 내용이 .gitignore에 포함되어 있는지 확인합니다.
  • 소스 코드 내에서 sk_live, api_key =, password =, secret = 패턴을 검색합니다.

Bolt에서 자주 발생하는 패턴

// 위험: 코드에 직접 입력
const supabase = createClient(
  'https://xxxx.supabase.co',
  'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...' // 이게 노출되면 큰일
);

// 안전: 환경변수 사용
const supabase = createClient(
  process.env.VITE_SUPABASE_URL,
  process.env.VITE_SUPABASE_ANON_KEY
);

Bolt는 Supabase와 자주 연동되는데, Supabase의 service_role 키가 노출되면 DB 전체를 외부에서 읽고 수정할 수 있게 됩니다.

STEP 2 — SSL/HTTPS 설정 확인

사이트가 http://로 접속 가능하다면 사용자 데이터가 평문으로 전송됩니다. 모든 페이지가 HTTPS로 강제 리다이렉트되는지 확인해야 합니다.

체크 포인트

  • 브라우저 주소창에 자물쇠 아이콘이 표시되는가?
  • http://로 접속 시 https://로 자동 리다이렉트되는가?
  • SSL 인증서 유효기간이 남아 있는가?
  • 사용 중인 SSL 프로토콜이 TLS 1.2 이상인가? (TLS 1.0/1.1은 취약)

Bolt로 만든 앱을 Netlify, Vercel에 배포하면 기본적으로 SSL이 제공됩니다. 하지만 커스텀 도메인을 연결할 때 설정 오류로 HTTP가 함께 열려 있는 경우가 종종 있습니다.

STEP 3 — HTTP 보안 헤더 점검

HTTP 헤더는 브라우저에게 보안 정책을 전달하는 역할을 합니다. 이 헤더들이 없으면 XSS, 클릭재킹, 정보 유출 공격에 취약해집니다.

반드시 있어야 하는 헤더

  • Content-Security-Policy (CSP): XSS 공격 방어. 스크립트 출처를 제한합니다.
  • X-Frame-Options: 클릭재킹 방어. 다른 사이트가 iframe으로 내 사이트를 삽입하는 것을 막습니다.
  • X-Content-Type-Options: MIME 타입 스니핑 방어.
  • Strict-Transport-Security (HSTS): HTTPS 강제. 한 번 방문한 사용자는 항상 HTTPS로만 접속합니다.
  • Referrer-Policy: 다른 사이트로 이동 시 URL 정보 유출 방지.

브라우저 개발자 도구(F12) → Network 탭에서 페이지 응답 헤더를 확인할 수 있습니다. 위 헤더들이 없다면 즉시 추가해야 합니다.

STEP 4 — 불필요한 정보 노출 확인

서버 응답 헤더에 기술 스택 정보가 포함되어 있으면 해커가 해당 버전의 알려진 취약점을 바로 공격할 수 있습니다.

제거해야 할 헤더

  • Server: Apache/2.4.52 (Ubuntu) → 서버 종류와 버전 노출
  • X-Powered-By: Express → 프레임워크 노출
  • X-Powered-By: PHP/8.1.0 → PHP 버전 노출

이 정보들은 제거해도 사이트 동작에 전혀 영향을 주지 않습니다. Netlify, Vercel 같은 호스팅에서는 커스텀 헤더 설정으로 제거할 수 있습니다.

STEP 5 — 디렉토리 리스팅 차단 확인

일부 설정에서는 파일이 없는 디렉토리 URL에 접근하면 해당 폴더 내 파일 목록이 그대로 보이는 경우가 있습니다. 예를 들어 https://mysite.com/uploads/에 접근했을 때 업로드된 파일 목록이 나열된다면 심각한 보안 문제입니다.

특히 사용자가 업로드한 파일이 있는 폴더, 설정 파일이 있는 경로에서 이 문제가 발생하면 민감한 데이터가 외부에 노출됩니다.

자동화 점검으로 시간 절약하기

위 5가지 항목 외에도 쿠키 설정, CORS 정책, 포트 스캔, 서브도메인 탈취 가능성 등 수십 가지를 더 확인해야 합니다. 이걸 수동으로 하나씩 체크하는 건 시간도 많이 걸리고 실수가 생기기 마련입니다.

CodeScan은 URL 하나만 입력하면 이 모든 항목을 자동으로 점검하고, A~F 등급과 구체적인 취약점 목록, 수정 방법을 함께 제공합니다. Bolt로 만든 사이트를 배포하기 전에 한 번, 배포 후에도 주기적으로 점검하는 것을 권장합니다.

내 Bolt 사이트 보안 등급 확인하기 → CodeScan 무료 스캔

Bolt 보안점검 바이브코딩

내 사이트도 점검해보세요

CodeScan으로 보안 취약점을 무료로 점검할 수 있습니다.

무료 스캔 시작하기 →
🛒
추천 상품
웹서비스 런칭 전 보안 세팅
런칭 전에 반드시 해야 하는 보안 설정을 원격으로 직접 해드립니다. HTTPS, 환경변수 분리, 보안 헤더…
220,000원 150,000원

🔒 바이브코딩 보안 체크리스트 받기

바이브코딩 보안 체크리스트(PDF)를 무료로 받아보세요.

관련 글

결제 보안

AI 코딩으로 만든 SaaS의 결제 연동, 빠지기 쉬운 보안 함정 5가지 (PortOne·토스 기준)

2026.4.25 바이브코딩

AI가 짠 로그인 코드, JWT 보안 실수 5가지와 수정법

2026.4.17 바이브코딩

Vercel·Replit 배포할 때 놓치는 보안 설정 7가지

2026.4.16 바이브코딩

.env 파일 깃허브에 올렸을 때 즉시 대응법 (바이브코딩 필수)

2026.4.13 바이브코딩

바이브코딩 소스코드 보안 점검, 왜 필요한가 (SAST 가이드)

2026.4.6