웹 호스팅 공급자가 갖추어야 할 12가지 보안 기능

웹 호스팅을 선택할 때 보안은 가장 중요한 고려 사항 중 하나입니다. 호스팅 서비스의 속도나 가격 대비 가치가 아무리 훌륭해도, 필수적인 보안 기능이 없다면 의미가 없습니다.

대기업이나 프리미엄 관리형 호스팅을 이용하는 경우에는 보안에 대한 걱정을 덜 수 있습니다. 대부분의 관리형 호스팅은 경쟁력 있는 보안 기능을 제공해야 하지만, 그래도 기본적인 사항은 확인하는 것이 좋습니다.

하지만 클라우드 호스팅이나 공유 웹 호스팅을 사용하는 중소기업이라면 제공되는 보안 기능에 더욱 세심한 주의를 기울여야 합니다.

웹 호스팅 업체를 찾고 있다면, 해당 업체가 기본적인 보안 기능을 제공하는지 반드시 확인해야 합니다. 또한, 어떤 온라인 위협으로부터 보호해야 하는지 아는 것도 중요합니다.

이 글에서는 일반적인 온라인 위협과 호스팅 업체를 선택할 때 반드시 고려해야 할 주요 보안 기능들을 살펴보겠습니다.

온라인 비즈니스를 위협하는 주요 온라인 공격

온라인 웹사이트나 비즈니스를 운영하기 위해 웹 호스트에 의존하는 모든 사업체는 규모나 종류에 상관없이 다양한 보안 위협에 노출됩니다.

일부 위협은 큰 문제를 일으키지 않을 수도 있지만, 공격자에게 시스템이 뚫리는 것은 사업에 매우 심각한 타격을 줄 수 있습니다.

따라서 가장 일반적인 위협을 미리 알고 있다면 온라인 비즈니스를 더욱 효과적으로 보호할 수 있습니다.

무차별 대입 공격

무차별 대입 공격은 가능한 모든 조합을 시도하여 계정 자격 증명을 알아내려는 시도입니다. 공격자는 수동으로 추측하거나 봇을 사용하여 수백, 수천 가지 조합을 시도하여 계정에 접근을 시도합니다.

공격자가 웹 호스팅 계정에 침입하면 비즈니스 운영에 심각한 영향을 미칠 수 있습니다.

분산 서비스 거부(DDoS) 공격

분산 서비스 거부(DDoS) 공격은 봇이나 감염된 장치를 이용하여 서버에 과도한 트래픽을 유발하여 웹사이트를 마비시키는 공격입니다. 정상적인 사용자가 웹사이트에 접근할 수 없게 만듭니다.

DDoS 공격은 계정 정보나 민감한 데이터를 필요로 하지 않기 때문에 더욱 위험합니다.

DDoS 공격을 막기 위한 다양한 보호 서비스를 이용할 수 있지만, 애초에 DDoS 공격을 방지하는 호스팅 업체를 선택하는 것이 가장 좋습니다.

악성코드 유포

때로는 공격자가 직접적인 이득을 취하려는 것이 아니라 웹 호스트를 통해 악성코드를 유포하려는 경우도 있습니다. 이는 서버를 위장하여 악의적인 활동을 수행하는 것을 목표로 합니다.

운영 체제 취약점

모든 웹 서버는 다양한 운영 체제를 선택할 수 있도록 지원합니다. 이러한 운영 체제는 일반적으로 주기적으로 업데이트를 통해 문제를 해결합니다.

하지만, 호스팅 업체가 취약점을 제때 패치하지 않으면 공격자가 웹사이트나 비즈니스에 접근할 수 있습니다.

이 외에도 온라인에는 웹 호스트와 비즈니스에 위험을 초래할 수 있는 다양한 위협이 존재합니다. 일반적인 해킹 유형과 해커에 대해 더 알고 싶다면 추가로 찾아볼 수 있습니다.

이제 안전한 호스팅 플랫폼을 선택할 때 고려해야 할 핵심 기능들을 자세히 알아보겠습니다.

대부분의 우수한 웹 호스팅 플랫폼은 필수 보안 기능을 제공합니다. 그러나 모든 호스팅 제공업체는 다른 특기를 가지고 있으므로 여러 옵션을 비교하고 결정하는 것이 좋습니다.

다음은 주요 기능들입니다.

백업 및 복원 기능

대부분의 호스트는 백업 및 복원 기능을 제공하지만, 그 기능이 얼마나 원활하게 작동하는지가 중요합니다.

백업/복원 프로세스에 최신 파일이 포함되어 있지 않다면 효과적으로 활용하기 어려울 수 있습니다.

따라서 호스팅 업체가 자동 백업과 함께 실시간 백업 기능을 제공하는지 확인해야 합니다. 수동 백업/복원만 지원하는 경우에는 관련 문서를 검토하여 프로세스가 얼마나 쉬운지, 또는 시간이 얼마나 걸리는지 확인해 보는 것이 좋습니다.

제공되는 옵션은 호스팅 플랫폼, 요금제, 선택한 호스팅 유형에 따라 달라질 수 있습니다.

예를 들어, 관리형 호스팅을 이용하면 백업 및 복원이 비교적 간편합니다.

SiteGround와 A2 Hosting은 원활한 백업 및 복원 기능을 제공하는 좋은 예입니다.

이제 막 시작하는 사용자라면 SiteGround에서 WordPress 사이트를 설정하는 데 도움이 되는 가이드도 이용할 수 있습니다.

서버 및 네트워크 모니터링

모든 것을 자동화된 시스템에만 의존하는 것보다는 서버 통계와 네트워크 트래픽을 주시하는 것이 좋습니다. 이를 위한 모니터링 도구가 유용할 수 있습니다.

직접 모니터링할 시간이 없더라도, 가끔 시간을 내어 서버 상태를 확인해 보는 것이 좋습니다. 서버 다운타임이 발생했을 때 무슨 일이 일어나고 있는지 파악하는 데도 도움이 됩니다.

따라서 기본적인 서버/모니터링 통계를 제공하는 웹 호스팅 파트너를 선택하는 것이 좋습니다.

DigitalOcean과 Linode는 이러한 작업에 적합한 호스팅 업체입니다. 다른 클라우드 호스팅 제공업체를 찾아보는 것도 좋습니다.

정기적인 악성코드 검사

모든 웹 호스트가 서버에서 악성코드를 검사하는 기능을 제공하는 것은 아닙니다. 별도의 서비스나 플러그인을 이용해야 할 수도 있습니다. 호스트가 제공하지 않는 경우에는 악성코드 웹사이트 스캐너를 고려해 볼 수 있습니다.

하지만 Scalahosting과 같은 일부 업체는 실시간 보호 서비스를 제공하여 자동으로 공격을 차단하고 악성코드를 검사합니다.

자동화된 기능 외에도 차단된 공격 또는 악성코드에 대한 정기적인 보고서도 제공합니다.

호스팅 업체에 이러한 기능이 있다면 온라인 위협을 확인하기 위해 수동으로 해야 하는 노력을 줄일 수 있습니다.

DDoS 방어

대부분의 호스팅 플랫폼은 서버 호스팅 요금제에 기본적인 DDoS 방어 기능을 제공합니다.

하지만 DDoS 방어 서비스는 일반적으로 저렴하지 않으며, 기본 제공되는 보호 기능으로는 충분하지 않을 수 있습니다. 특히 WordPress 웹사이트를 구축하는 경우에는 프리미엄 웹 호스팅 옵션을 선택하는 것이 좋습니다.

이 경우, Kinsta와 같은 업체를 고려해볼 수 있습니다.

수동으로 서비스 재시작

웹 호스트가 대부분의 중요한 작업을 처리하는 것이 편리하지만, 서버를 제어하는 것 또한 중요합니다.

따라서 웹 호스트가 아무런 조치를 취하지 않더라도 실행 중인 일부 서비스를 다시 시작하여 문제를 해결할 수 있어야 합니다.

Cloudways와 같은 대부분의 클라우드 호스팅 제공업체는 실행 중인 서비스를 시작/중지할 수 있는 세분화된 제어 기능을 제공합니다.

웹 애플리케이션 방화벽(WAF) 통합

웹 애플리케이션 방화벽(WAF)은 중소기업에게는 비용 부담이 클 수 있습니다.

하지만 호스트가 간단한 통합을 통해 즉시 WAF 보호 기능을 제공한다면 이는 매우 유용한 기능입니다.

예를 들어, Cloudflare가 포함된 SiteGround를 들 수 있습니다. 이러한 옵션을 사용하면 웹사이트 보안을 강화하기 위해 WAF를 수동으로 구성하거나 설정할 필요가 없습니다. 필요에 따라 다른 웹 애플리케이션 방화벽 서비스를 찾아볼 수도 있습니다.

보안 데이터 센터

일반적으로 웹 호스팅 회사의 데이터 센터는 다양한 원격 지역에 위치하기 때문에 물리적으로 안전합니다.

데이터 센터의 보안을 보장하려면 강력한 데이터 센터 인프라를 사용하는 호스팅 솔루션을 선택하는 것이 좋습니다.

예를 들어, SiteGround는 Google의 데이터 센터 네트워크를 사용합니다. 따라서 호스팅 요금제를 선택하면 최상의 기술을 이용할 수 있습니다. 반면, 인프라를 완전히 제어한다고 주장하는 잘 알려지지 않은 웹 호스트는 데이터 센터를 보호할 최고의 기술을 보유하고 있지 않을 수 있습니다.

선호하는 호스팅 플랫폼에서 사용하는 데이터 센터에 대해 더 자세히 알아보려면 충분한 조사를 해야 합니다.

접근 권한 및 사용자 권한

서버 관리를 위해 팀원에게 접근 권한을 부여해야 하는 경우, 각 역할에 따라 권한을 관리할 수 있는 접근/사용자 제어 기능이 있는 것이 좋습니다.

모든 팀원이 호스팅 계정에 대한 전체 접근 권한을 갖는 것을 원하지 않을 수 있으므로, 접근/사용자 권한을 조정할 수 있는 호스팅 플랫폼을 선택해야 합니다.

또한 WordPress를 사용하여 웹사이트를 운영하는 경우에는 플러그인을 선택하여 WordPress 사이트의 사용자를 관리할 수도 있습니다.

주기적인 비밀번호 변경 및 이중 인증(2FA)

계정 비밀번호를 정기적으로 변경하는 것이 좋습니다. 이렇게 하면 공격자가 로그인 정보를 탈취하기가 어려워집니다.

일부 웹 호스트는 이 습관을 장려하기 위해 정기적으로 비밀번호를 변경하도록 강제(또는 알림)합니다. 하지만 모든 호스트가 그런 것은 아닙니다. 따라서 호스팅 업체에서 비밀번호를 자주 변경하지 않아도 괜찮을 수도 있습니다.

하지만 이중 인증(2FA)을 활성화해야 합니다.

2FA를 활성화하면 비밀번호 변경에 대해 크게 걱정할 필요가 없습니다. 하지만 보안을 강화하기 위해 비밀번호를 정기적으로 변경하는 것이 좋습니다. 결국 암호 관리자를 사용하여 작업을 더 쉽게 만들 수 있습니다.

대부분의 웹 호스팅 플랫폼은 2FA를 활성화할 수 있는 기능을 제공합니다.

웹 호스트가 2FA를 지원하지 않는다면 해당 서비스를 사용하는 것을 재고해야 합니다. 이것은 가장 중요한 보안 기능 중 하나입니다.

SFTP 접근

호스팅 플랫폼에서 FTP 접근을 지원하는 것은 일반적입니다. FTP는 편리하지만, 웹 호스팅 파일에 안전하게 접근할 수 있는 프로토콜은 아닙니다.

따라서 파일에 대한 안전한 접근을 위해 SFTP를 지원하는 호스팅 플랫폼을 선택하는 것이 좋습니다.

웹 호스트가 FTP 사용을 금지하고 SFTP만 사용하도록 제한한다면 더욱 좋습니다.

재해 복구

프리미엄 요금제를 선택하든 가장 저렴한 요금제를 선택하든, 파일은 호스팅 플랫폼이나 타사에서 관리하는 데이터 센터에 의존하게 됩니다.

따라서 재해 발생 시 호스팅 업체는 손실된 데이터를 복구하기 위해 어떤 정책을 시행하고 있습니까?

데이터를 복구할 준비가 되어 있는 특별한 조치가 있습니까? 재해 발생 시 어떤 조치를 취할 수 있습니까?

물론 너무 편집증적일 필요는 없지만, 언제든지 무슨 일이 일어날지 아무도 예측할 수 없기 때문에 데이터가 영구적으로 손실되어 비즈니스에 영향을 미치기 전에 어떤 옵션을 이용할 수 있는지 알아두는 것이 좋습니다.

SSL 인증서

모든 웹 호스트는 SSL 인증서를 지원하지만, 일부 업체는 프리미엄 비용을 청구하고 다른 업체는 무료로 제공합니다.

비용을 절약하려면 Let’s Encrypt 인증 기관에서 발급한 인증서를 사용하여 무료 SSL 인증서를 제공하는 호스팅 플랫폼을 찾는 것이 좋습니다.

일부 경우에는 유효 기간이 제한된 무료 SSL 인증서를 받을 수 있습니다. 좋은 거래처럼 보일 수 있지만, 장기간 호스팅을 사용할 계획이라면 무료 기간 이후의 비용도 고려해야 합니다.

대규모 사업을 하거나 결제 관련 사업을 운영하는 경우가 아니라면 특별한 SSL 인증서가 필요하지 않습니다.

SSL 인증서를 제공하는 호스팅 업체로는 Bluehost나 Dreamhost 등이 있습니다.

마무리

선호하는 웹 호스트가 위에서 언급한 모든 필수 보안 기능을 제공한다면 온라인 비즈니스를 보호하는 데 필요한 노력을 최소화할 수 있습니다.

SiteGround, Bluehost, DreamHost 및 Scalahosting은 고려해볼 만한 인기 있는 호스팅 업체입니다. 그 외에도 다양한 호스팅 플랫폼을 검토하여 자신의 사용 사례에 적합한 플랫폼을 선택하시기 바랍니다.