HTTP 헤더 검사기란?
HTTP 헤더 검사기는 URL에 요청을 보내고 서버가 반환하는 HTTP 응답 헤더를 표시하는 도구입니다. 응답 헤더에는 콘텐츠 유형, 캐싱 규칙, 서버 소프트웨어 정보뿐 아니라 HSTS, CSP, X-Frame-Options 같은 보안 헤더가 포함되어 있습니다.
웹사이트의 보안 설정을 점검하는 것은 웹 개발자와 보안 관리자에게 필수적입니다. DNS Robot의 무료 HTTP 헤더 검사 도구는 모든 URL의 응답 헤더를 분석하고, 6가지 핵심 보안 헤더를 가중 점수로 평가하여 A-F 보안 등급과 개선 권장 사항을 제공합니다.
SSL 체커로 인증서 유효성을 확인하고, DNS 조회 도구로 도메인의 전반적인 DNS 구성을 점검하세요. HTTP 헤더 검사와 함께 사용하면 웹사이트의 보안을 종합적으로 진단할 수 있습니다.
HTTP 헤더 검사 방법
웹사이트의 HTTP 헤더를 검사하는 방법은 여러 가지가 있습니다. DNS Robot의 온라인 도구가 가장 빠르고 포괄적인 방법이지만, 시스템 관리자를 위한 명령줄 대안도 알아두면 유용합니다.
아래 단계에 따라 모든 URL의 HTTP 응답 헤더를 분석하세요. 도구는 서버에 요청을 보내고, 모든 응답 헤더를 수집하여 보안 등급과 함께 표시합니다.
위의 도구에 URL을 입력하고 'Check Headers'를 클릭하세요. 도구가 서버에 요청을 보내 모든 응답 헤더를 수집하고, 보안 헤더를 분석하여 A-F 등급과 개선 권장 사항을 즉시 제공합니다 — 설치 필요 없음.
터미널에서 curl -I https://example.com을 실행하면 HTTP 응답 헤더만 표시됩니다. -v 플래그를 추가하면 TLS 핸드셰이크 정보까지 확인할 수 있습니다. 단, 보안 등급이나 개선 사항은 수동으로 분석해야 합니다.
브라우저에서 F12를 눌러 개발자 도구를 열고, Network 탭에서 요청을 선택하면 응답 헤더를 확인할 수 있습니다. 개별 요청의 헤더를 볼 수 있지만 보안 등급 분석은 포함되지 않습니다.
핵심 보안 헤더 설명
웹 보안의 핵심은 서버가 브라우저에 전송하는 보안 헤더에 있습니다. 이 헤더들은 XSS 공격, 클릭재킹, MIME 스니핑, SSL 스트리핑 등 일반적인 웹 공격을 방지하는 데 중요한 역할을 합니다.
DNS Robot의 HTTP 헤더 검사 도구는 아래 6가지 핵심 보안 헤더를 가중 점수로 평가합니다. 각 헤더의 중요도에 따라 점수가 다르게 적용되며, 모든 헤더가 올바르게 구성되어야 A 등급을 받을 수 있습니다.
브라우저에 HTTPS 연결만 사용하도록 지시합니다. SSL 스트리핑 및 다운그레이드 공격을 방지합니다. 권장 설정: max-age=31536000; includeSubDomains; preload. SSL 체커로 인증서 유효성을 먼저 확인하세요.
페이지에서 로드할 수 있는 리소스(스크립트, 스타일, 이미지, 프레임)를 제어합니다. XSS 공격을 방지하는 가장 강력한 보안 헤더입니다. 보안 등급에서 가장 높은 가중치를 차지합니다.
웹페이지가 iframe에 삽입되는 것을 제어하여 클릭재킹 공격을 방지합니다. DENY(모든 프레이밍 차단) 또는 SAMEORIGIN(동일 출처만 허용) 값을 사용합니다.
브라우저의 MIME 타입 스니핑을 방지합니다. nosniff 값을 설정하면 서버가 선언한 Content-Type만 사용하여 스크립트 주입 공격을 차단합니다.
페이지 이동 시 전송되는 Referer 정보의 범위를 제어합니다. strict-origin-when-cross-origin 또는 no-referrer를 사용하여 민감한 URL 정보 유출을 방지합니다.
카메라, 마이크, 위치 정보, 결제 API 등 브라우저 API에 대한 접근을 제한합니다. 불필요한 기능을 비활성화하여 공격 표면을 줄이고 사용자 프라이버시를 보호합니다.
보안 헤더 등급 이해
DNS Robot의 HTTP 헤더 검사 도구는 6가지 핵심 보안 헤더를 가중 점수로 평가하여 A-F 등급을 산출합니다. 각 헤더의 중요도에 따라 점수 비중이 다르며, CSP와 HSTS가 가장 높은 가중치를 차지합니다.
등급은 보안 설정의 강도를 한눈에 파악할 수 있게 해줍니다. A 등급은 모든 주요 헤더가 올바르게 구성되었음을, F 등급은 보안 헤더가 거의 없어 즉각적인 조치가 필요함을 의미합니다. 도메인 건강 검사 도구와 함께 사용하면 DNS, SSL, 이메일 인증 등 전반적인 보안 상태를 확인할 수 있습니다.
A 등급 (90-100점) — 모든 주요 보안 헤더가 올바르게 구성되어 우수한 보안 상태입니다
B 등급 (75-89점) — 대부분의 보안 헤더가 설정되어 있으나 일부 개선이 필요합니다
C 등급 (60-74점) — 보통 수준의 보호로, 주요 헤더 누락이 있어 개선이 권장됩니다
D 등급 (40-59점) — 약한 보안 상태로, 여러 핵심 헤더가 누락되어 있습니다
F 등급 (0-39점) — 보안 헤더가 거의 없어 즉각적인 조치가 필요합니다
일반 HTTP 응답 헤더 참조
HTTP 응답 헤더는 보안 헤더 외에도 서버 정보, 콘텐츠 유형, 캐싱 규칙 등 다양한 메타데이터를 포함합니다. 이러한 헤더를 이해하면 서버 구성 문제를 진단하고 성능을 최적화하는 데 도움이 됩니다.
아래는 HTTP 응답에서 자주 볼 수 있는 헤더를 서버/콘텐츠 헤더와 캐싱/성능 헤더로 분류한 것입니다.
서버 소프트웨어(예: nginx, Apache, cloudflare)를 식별합니다. 보안을 위해 상세 버전 정보를 숨기는 것이 권장됩니다.
응답 본문의 MIME 타입(예: text/html, application/json)과 문자 인코딩(예: charset=utf-8)을 지정합니다.
응답 본문의 바이트 크기를 나타냅니다. Transfer-Encoding: chunked가 사용되면 이 헤더는 생략됩니다.
브라우저와 CDN의 캐싱 동작을 제어합니다. max-age, no-cache, no-store, public, private 등의 지시문으로 캐싱 정책을 설정합니다.
리소스의 특정 버전을 식별하는 고유 식별자입니다. 조건부 요청(If-None-Match)에 사용되어 불필요한 데이터 전송을 줄입니다.
서버 프레임워크(예: Express, PHP)나 프록시 서버 정보를 나타냅니다. 보안을 위해 제거하는 것이 권장됩니다.
보안 헤더가 중요한 이유
보안 헤더는 웹 애플리케이션의 첫 번째 방어선입니다. 서버가 올바른 보안 헤더를 전송하면 브라우저가 일반적인 웹 공격을 자동으로 차단합니다. 보안 헤더 없이는 웹사이트가 XSS, 클릭재킹, MIME 스니핑, SSL 스트리핑 등의 공격에 취약해집니다.
보안 헤더의 중요성은 단순한 기술적 보호를 넘어서 규정 준수에도 영향을 미칩니다. PCI DSS(결제 카드 업계 데이터 보안 표준)와 GDPR(일반 데이터 보호 규정)은 적절한 보안 조치를 요구하며, 보안 헤더는 이를 충족하는 기본 요소입니다.
보안 헤더 구성은 비용이 들지 않으며, 대부분의 웹 서버에서 몇 줄의 설정으로 추가할 수 있습니다. SPF 확인, DMARC 확인 도구와 함께 사용하면 웹사이트와 이메일 보안을 동시에 강화할 수 있습니다.
XSS 공격 방지 — CSP 헤더로 승인되지 않은 스크립트 실행을 차단하여 크로스 사이트 스크립팅을 방지합니다
클릭재킹 차단 — X-Frame-Options로 페이지가 악성 iframe에 삽입되는 것을 방지합니다
HTTPS 강제 — HSTS로 모든 연결을 HTTPS로 업그레이드하여 중간자 공격을 차단합니다
MIME 스니핑 방지 — X-Content-Type-Options: nosniff로 브라우저의 MIME 타입 추측을 차단합니다
정보 유출 방지 — Referrer-Policy로 민감한 URL 파라미터가 외부 사이트로 전송되는 것을 제어합니다
규정 준수 — PCI DSS, GDPR 등 보안 표준 충족에 필요한 기본 보안 조치입니다
웹사이트에 보안 헤더 추가하기
보안 헤더는 웹 서버 구성, 프레임워크 설정, CDN 또는 호스팅 플랫폼을 통해 추가할 수 있습니다. 아래는 주요 웹 서버와 플랫폼별 보안 헤더 설정 방법입니다.
보안 헤더를 추가한 후에는 반드시 DNS Robot의 HTTP 헤더 검사 도구로 올바르게 적용되었는지 확인하세요. CSP는 먼저 Content-Security-Policy-Report-Only 모드로 테스트한 후 적용하는 것이 안전합니다.
server 블록에 add_header 지시문을 추가합니다. 예: add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always; add_header X-Frame-Options "SAMEORIGIN" always;
.htaccess 또는 httpd.conf에 Header set 지시문을 추가합니다. 예: Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" Header always set X-Frame-Options "SAMEORIGIN"
Cloudflare 대시보드에서 Rules → Transform Rules → Modify Response Header로 이동하여 보안 헤더를 추가합니다. WAF와 함께 추가적인 보안 계층을 제공합니다.
next.config.js의 headers() 함수에서 보안 헤더를 설정합니다. Vercel은 vercel.json의 headers 설정을 통해서도 구성할 수 있습니다.
관련 네트워크 및 보안 도구
DNS Robot은 HTTP 헤더 검사를 보완하는 다양한 보안 및 네트워크 분석 도구를 제공합니다. 이 도구들을 함께 사용하여 웹사이트의 보안 설정을 종합적으로 점검하세요.
SSL 인증서 유효성, 만료일, 인증서 체인, TLS 버전을 분석하여 HTTPS 보안을 확인합니다.
23개 이상의 글로벌 서버에서 12가지 DNS 레코드 유형을 확인합니다.
DNS, SSL, 이메일 인증 등 도메인의 전반적인 건강 상태를 종합 검사합니다.
SPF 레코드를 검증하고 DNS 조회 수, include 체인, 건강 점수를 확인합니다.
DMARC 정책을 분석하여 이메일 인증 및 피싱 방지 설정을 확인합니다.
서버의 포트 개방 상태를 확인하여 불필요한 포트 노출을 점검합니다.