security.txt 점검

security.txt 점검 도구는 사이트의 /.well-known/security.txt 파일이 존재하는지, 그리고 그 안에 보안 연구자가 취약점을 신고할 때 필요한 항목이 제대로 들어 있는지 확인합니다. 도메인만 입력하면 서버가 표준 위치를 직접 조회해 Contact·Expires·Encryption·Policy·Acknowledgments 같은 필드를 추출하고, 누락된 항목을 한눈에 보여 줍니다.

security.txt는 RFC 9116으로 표준화된 텍스트 파일입니다. 보안 문제를 발견한 사람이 어디로 연락해야 하는지 명확히 알려 주어, 신고가 엉뚱한 부서로 흘러가거나 공개되어 버리는 일을 막아 줍니다. 이미 많은 정부·기업 사이트가 이 파일을 운영하고 있으며, 보안 성숙도를 보여 주는 기본 신호로 자리잡았습니다.

security.txt(RFC 9116)란

security.txt는 사이트의 보안 연락처와 취약점 신고 정책을 기계·사람 모두 읽을 수 있게 적어 두는 표준 텍스트 파일입니다. 표준 위치는 /.well-known/security.txt이며, 과거 관행으로 루트 경로(/security.txt)에 두기도 합니다. 이 도구는 두 위치를 모두 시도합니다.

주요 필드

• Contact (필수): 신고를 받을 이메일·URL·전화. 한 개 이상 있어야 합니다.
• Expires (필수): 이 파일의 정보가 유효한 만료 시각. 지나면 갱신해야 합니다.
• Encryption: 암호화 신고를 위한 공개키 위치.
• Policy: 취약점 공개·신고 정책 문서 링크.
• Acknowledgments: 기여한 연구자에게 감사하는 페이지.
• Preferred-Languages / Canonical: 선호 언어, 파일의 정규 URL.

작성·운영 팁

파일은 가능하면 HTTPS로 제공하고, 운영 환경에서는 PGP 등으로 서명해 위·변조를 방지하는 것이 좋습니다. Expires는 보통 1년 이내로 두고 주기적으로 갱신합니다. 연락처가 살아 있는지, 만료가 지나지 않았는지 정기 점검하면 신고 누락을 줄일 수 있습니다. security.txt는 보안 성숙도의 한 신호일 뿐이므로, 보안 헤더 점검으로 HSTS·CSP 같은 기본 방어도 함께 갖췄는지 확인하면 좋습니다.