기관 사이트 보안 점검 — KISA·OWASP·접근성 통합 체크리스트

공공·교육·연구기관 홈페이지는 일반 기업보다 엄격한 보안 기준 적용. 25년간 200기관 운영 경험을 토대로 실전 체크리스트를 정리합니다.

1. KISA 보안진단 핵심

• 홈페이지 취약점 (XSS·SQL Injection·CSRF·파일 업로드)
• 관리자 페이지 접근 제어
• SSL/TLS 구성 (TLS 1.2 이상, HSTS)
• 로그 보존 (180일 이상 권장)

2. OWASP Top 10 자가진단

• A01 Broken Access Control — 권한 우회 점검
• A02 Cryptographic Failures — 평문 저장 금지
• A03 Injection — Prepared Statement
• A04 Insecure Design — 위협 모델링
• A05 Security Misconfiguration — 기본 비밀번호·디렉터리 노출

3. 개인정보보호법 의무

• 5만 명 이상 처리 — 개인정보영향평가(PIA)
• 주민번호 수집 제한·암호화
• 제3자 제공·해외 이전 동의
• 유출 시 72시간 내 신고

4. 웹접근성·법령 준수

• 장애인차별금지법 — 공공기관 의무
• WCAG 2.1 AA — WA·KWAH 인증 권장
• 국정원 보안가이드 — 일부 기관

기관 사이트 보안 진단·KISA 점검 대응 무료. 상담 신청.