웹사이트 운영자가 알아야 할 기본 보안 용어 정리

웹사이트 운영에서 보안은 “개발자 영역”처럼 느껴지지만, 실제 사고는 운영자의 작은 설정 실수나 계정 관리 허술함에서 시작되는 경우가 많습니다. 그래서 운영자라면 최소한의 보안 용어는 알아야 의사결정도 빠르고, 외주/개발자와 소통도 정확해집니다. 아래는 웹사이트 운영자가 자주 마주치는 핵심 보안 용어를 쉬운 말로 정리한 내용입니다.

1) 인증(Authentication)과 인가(Authorization)

• 인증: “너 누구야?”를 확인하는 과정(로그인)
• 인가: “너 이거 할 권한 있어?”를 확인하는 과정(권한 체크)

로그인은 인증이고, 관리자 메뉴 접근 가능 여부는 인가입니다. 많은 사고가 “인가 체크 누락”에서 터집니다.

2) 2단계 인증(2FA/MFA)

비밀번호 외에 추가 인증(앱 코드, 푸시 승인, 보안키 등)을 한 번 더 요구하는 방식입니다.
비밀번호 유출이나 재사용 공격을 막는 가장 현실적인 방어 수단입니다.

3) 세션(Session)과 쿠키(Cookie)

• 세션: 로그인 상태 같은 정보를 서버가 관리하는 방식
• 쿠키: 브라우저에 저장되는 작은 정보(세션 ID 등 포함)

세션 탈취(하이재킹) 공격은 “비밀번호를 몰라도 로그인 상태를 빼앗는” 형태로 발생할 수 있어 운영자도 경계해야 합니다.

4) HTTPS / TLS(SSL)

브라우저와 서버 통신을 암호화해 도청·변조를 막는 방식입니다.
TLS가 정확한 기술 이름이고 SSL은 관용적으로 쓰는 말입니다. HTTPS는 사실상 필수입니다.

5) SSL/TLS 인증서

“이 도메인의 주인이 맞다”를 증명하고, HTTPS 통신을 가능하게 하는 디지털 신분증입니다.
만료되면 접속 경고가 뜨고 사용자 신뢰가 크게 떨어집니다.

6) 방화벽(Firewall)과 보안그룹(Security Group)

외부에서 들어오는/나가는 네트워크 접근을 허용하거나 차단하는 규칙입니다.
운영자는 최소한 “관리자 접속 포트는 제한”한다는 개념을 알아야 합니다.

7) WAF(Web Application Firewall)

웹 공격 패턴(SQL 인젝션, XSS 등)을 탐지·차단하는 방화벽입니다.
서버 앞단에서 공격 트래픽을 걸러주는 역할을 합니다.

8) DDoS(분산 서비스 거부 공격)

여러 대의 기기(봇)가 동시에 트래픽을 몰아 서버를 마비시키는 공격입니다.
서버가 “죽은 것처럼” 보이게 만드는 대표 공격 유형입니다.

9) 취약점(Vulnerability)

공격자가 악용할 수 있는 약점입니다.
워드프레스, 플러그인, 테마, 서버 소프트웨어의 업데이트를 미루면 취약점이 쌓입니다.

10) 패치(Patch)와 업데이트(Update)

취약점이나 오류를 수정하는 변경입니다.
보안 패치는 미루는 순간 “공개된 약점을 그대로 열어두는 것”이 될 수 있습니다.

11) SQL 인젝션(SQL Injection)

입력창(로그인, 검색 등)에 악의적인 SQL 문을 넣어 DB를 조작하거나 유출하는 공격입니다.
WAF로 일부 막을 수 있지만, 기본은 개발 단계에서 방어해야 합니다.

12) XSS(교차 사이트 스크립팅)

게시판/댓글 등에 스크립트를 심어 사용자 브라우저에서 실행되게 하는 공격입니다.
세션 쿠키 탈취나 피싱 화면 삽입으로 이어질 수 있습니다.

13) CSRF(사이트 간 요청 위조)

사용자가 로그인한 상태를 이용해, 본인 의지와 상관없이 특정 요청(비밀번호 변경, 송금 등)을 보내게 만드는 공격입니다.
“로그인 돼 있으니 믿는다”는 구조를 악용합니다.

14) 브루트포스(Brute Force)와 크리덴셜 스터핑(Credential Stuffing)

• 브루트포스: 비밀번호를 무작정 대입하는 공격
• 크리덴셜 스터핑: 유출된 계정/비밀번호 목록으로 자동 로그인 시도

운영자는 로그인 시도 제한, 2FA, CAPTCHA, IP 차단 같은 대응을 알아두면 좋습니다.

15) 피싱(Phishing)

가짜 로그인 페이지나 메시지로 사용자의 계정 정보를 빼내는 사기입니다.
운영자 계정이 피싱에 걸리면 사이트 전체가 위험해질 수 있습니다.

16) 악성코드(Malware)와 웹셸(Web Shell)

• 악성코드: 시스템을 망가뜨리거나 정보를 빼가는 프로그램
• 웹셸: 웹서버에 업로드되어 원격으로 명령을 실행하게 하는 “해킹 도구”

FTP 계정 탈취나 취약점 악용으로 웹셸이 심어지는 사고가 많습니다.

17) 권한 분리(Least Privilege)

필요한 권한만 최소로 주는 원칙입니다.
외주에게 관리자 최고 권한을 통째로 주는 습관은 위험합니다. 계정별 권한을 나눠야 사고가 줄어듭니다.

18) 백업(Backup)과 복구(Recovery)

백업은 사고 대비 보험이고, 복구는 실제로 되돌리는 절차입니다.
운영자는 “백업이 있다”보다 “복구가 되는 백업인지”가 핵심입니다.

19) 로그(Log)와 모니터링(Monitoring)

• 로그: 발생한 사건 기록(접속, 오류, 변경)
• 모니터링: 지표를 계속 관찰하고 이상 시 알림

보안 사고는 “초기 탐지”가 생명이라 로그와 알림 체계가 중요합니다.

20) 제로데이(Zero-day)

아직 패치가 없거나 널리 알려지지 않은 취약점을 이용한 공격입니다.
운영자가 할 수 있는 현실적 대응은 “WAF, 권한 최소화, 백업, 빠른 패치 체계”를 갖추는 것입니다.

운영자에게 가장 중요한 결론

보안 용어를 많이 아는 것보다, 아래 5가지를 습관화하는 것이 사고를 크게 줄입니다.

• 관리자 계정 2FA 필수
• HTTPS 유지, 인증서 만료 관리
• 업데이트/패치 미루지 않기(특히 플러그인)
• 접근 권한 최소화(계정 분리)
• 백업 자동화 + 복구 테스트