보안 등급이란?
CodeScan은 14가지 보안 항목을 종합 평가하여 A~F 등급을 부여합니다.
- A (90점+): 안전 — 주요 보안 설정이 잘 되어 있습니다
- B (70~89): 양호 — 일부 개선이 필요합니다
- C (50~69): 주의 — 여러 취약점이 있습니다
- D (30~49): 위험 — 즉시 조치가 필요합니다
- F (30 미만): 심각 — 서비스 중단 위험이 있습니다
A등급 받기 위한 체크리스트
1. HTTPS 필수
Let's Encrypt로 무료 SSL 인증서를 설치하세요. Cloudflare를 사용하면 자동으로 HTTPS가 적용됩니다.
2. 보안 헤더 설정
Strict-Transport-Security, Content-Security-Policy, X-Frame-Options 등 핵심 보안 헤더를 추가하세요.
3. 불필요한 포트 닫기
80(HTTP), 443(HTTPS) 외 포트는 방화벽으로 차단하세요. 특히 22(SSH), 3306(MySQL), 6379(Redis)는 외부 접근을 제한해야 합니다.
4. 쿠키 보안 속성
Secure, HttpOnly, SameSite=Strict 플래그를 모든 쿠키에 설정하세요.
5. API 키 서버사이드 관리
JavaScript에 API 키를 넣지 마세요. 환경변수와 서버 프록시를 사용하세요.
6. 에러 페이지 커스텀
DEBUG 모드를 끄고, 커스텀 에러 페이지(404, 500)를 설정하세요.