모든 웹사이트는 정보를 방출합니다. 보안 취약점이나 구성 오류를 통해가 아니라 — 공개 인터넷에 존재함으로써 말입니다. DNS 기록, SSL 인증서, HTTP 헤더, 기술 지문, WHOIS 데이터, 수십 가지의 다른 신호들은 누구든 알맞은 위치를 알면 확인할 수 있습니다. 이는 패시브 레콘 — 타겟 시스템에 접근하거나 테스트하지 않고 공개된 정보에서 지능을 수집하는 실천 — 을 의미합니다.
귀하께서 기업을 운영하시거나 보안을 관리하시거나 회사의 디지털 존재에 기반한 결정을 내리신다면, 패시브 레콘에서 드러나는 정보를 이해하는 것은 선택이 아닙니다. 바로 귀하의 경쟁사, 공격자, 잠재적 파트너가 현재 확인하고 있는 동일한 정보이기 때문입니다.
패시브 탐지는 목표 시스템과의 어떤 상호작용 없이 공개된 디지털 신호를 관찰하는 것을 의미합니다. 로그인 시도, 취약점 스캔, 폼 제출, 또는 활성 탐지가 없습니다. 길거리에서 건물을 바라보는 것처럼 생각해보세요. 주소, 층수, 외부 보안 카메라, 회사 로고, 주차장에 있는 차량 등을 볼 수 있습니다. 건물을 들어가거나 문을 테스트하지 않았습니다.
디지털 측면에서 보면, 이는 인터넷에서 작동하기 위해 타겟 인프라가 자발적으로 공개하는 데이터를 분석하는 것을 의미합니다: 트래픽을 라우팅하는 DNS 기록, 공개 투명성 로그에 등록된 SSL 인증서, 서버 소프트웨어를 식별하는 HTTP 헤더, 그리고 모든 방문자의 브라우저에 전달되는 HTML/JavaScript 코드입니다.
구조화된 수동 정보수집 분석이 추출하는 내용과 각 범주가 귀하의 조직에 대해 드러내는 정보입니다.
귀하의 CMS(WordPress, Shopify, 커스텀), JavaScript 프레임워크(React, Vue, Angular), 분석 도구(GA4, Mixpanel), 결제 처리업체, CDN 제공업체 및 페이지에 로드된 모든 3자 스크립트. 공개된 HTML/JS만으로도 3,000개 이상의 기술을 지문 분석할 수 있습니다.
SSL 인증서 세부 정보(발급자, 만료일, 보호 범위), 보안 헤더(또는 부재 - HSTS, CSP, X-Frame-Options), 쿠키 속성(HttpOnly, Secure, SameSite), 그리고 노출된 설정 오류. 콘텐츠 보안 정책이 누락되어 있으면 사이트가 XSS 취약점에 노출되었을 수 있음을 공격자에게 알립니다.
IP 주소, 호스팅 제공업체, ASN, 서버의 위치, 이메일 인프라를 드러내는 MX 레코드, 3자 통합을 노출하는 TXT 레코드(SPF, DKIM, SaaS 도구의 도메인 인증), 네임서버 설정 등입니다.
인증서 투명성 로그는 귀하 도메인에 발급된 모든 SSL 인증서(서브도메인 포함)를 기록합니다. 이는 내부 프로젝트 이름, 스테이징 환경, 파트너 통합 및 공개되지 않아야 할 인프라를 드러낼 수 있습니다.
HTML에 포함된 이메일 주소, 사이트에서 연결된 소셜 미디어 프로필, 전화번호, 영업 시간, 소개 페이지의 팀 구성원 이름, 기술 선택을 드러내는 채용 공고, 조직 구조 신호 등입니다.
도메인 등록일, 등록기관, 네임서버 역사, 개인정보 보호가 활성화되지 않은 경우 등록자 이름, 조직명, 연락처. 개인정보 보호가 활성화된 경우라도 등록일과 네임서버 패턴은 운영 역사가 드러납니다.
메타 태그, 헤딩 구조, robots.txt 규칙(어떤 디렉터리를 숨기고 있나요?), 사이트맵 내용(URI 구조와 콘텐츠 조직을 드러냄), 색인 상태. robots.txt에서 /admin/ 경로가 disallowed 되어 있으면 해당 URL에 관리자 패널이 존재함을 확인할 수 있습니다.
쿠키 동의 구현(또는 부재 - GDPR 경고 신호), 개인정보 처리방침 품질, 이용 약관, 뉴스레터/구독 신호, CRM 및 마케팅 자동화 플랫폼, 비즈니스 모델 신호(이커머스, SaaS, 컨설팅) 등입니다.
귀하의 조직에 대한 패시브 레콘(패시브 탐지) 평가를 수행하지 않았다면, 이미 다른 누군가가 수행했을 수 있습니다. 모든 펜테스트(침투 테스트)는 패시브 레콘으로 시작됩니다. 모든 타겟형 피싱 캠페인은 귀하의 기술 스택, 이메일 인프라, 직원 정보를 이해하는 것으로 시작됩니다. 이 데이터가 접근 가능한지 여부가 아니라, 어떤 데이터가 노출되어 있는지 알고 각 신호에 대해 의식적인 결정을 내렸는지가 문제입니다.
귀하의 웹사이트는 가장 공개적인 자산이며, 마케팅 콘텐츠 이상의 정보를 전달합니다. 경쟁사가 패시브 레콘을 수행하면 귀하의 기술 투자, 공급업체 관계, 채용 우선순위(채용 공고를 통해), 운영 성숙도를 파악할 수 있습니다. 파트너와 투자자가 실무 접촉 이전에 외부에서 귀하의 보안 태세와 컴플라이언스 준비 상황을 평가할 것입니다.
보안 태세를 드러내는 신호는 비즈니스 기회를 드러내기도 합니다. 오래된 소프트웨어를 사용하면서 분석 도구가 없고 보안 헤더가 누락된 잠재 고객은 귀하가 해결할 수 있는 명확한 요구 사항을 가지고 있습니다. 패시브 레콘은 추성 접근을 정보 기반의 컨설팅형 판매로 전환시킵니다. 왜냐하면 첫 대화 이전에 이미 해결해야 할 문제를 알고 있기 때문입니다.
패시브 탐지(패시브 레콘)는 예방할 수 없습니다. 데이터는 인프라가 정상적으로 작동하기 위해 존재하기 때문입니다. 하지만 노출 수준을 의식적으로 관리할 수 있습니다.
개별 신호는 데이터 포인트입니다. 상관된 신호는 지능 정보가 됩니다. WordPress 5.x 기반의 기술 스택이 WAF가 없고 보안 헤더가 누락되며 robots.txt에 /wp-admin/ 경로가 노출되어 있고 Let's Encrypt 인증서가 곧 만료될 경우, 이는 매우 구체적인 이야기를 전달합니다. 공격자, 경쟁사, 또는 잠재 고객이 각각 자신의 목적에 따라 해석할 수 있는 이야기입니다.
이유는 현대 수동 정보수집이 단순히 신호 수집을 넘어 다차원적 상관관계 분석과 결과 점수 산정을 포함하기 때문입니다. 보안 헤더가 3개 누락된 사이트는 우려스러운 상황입니다. 보안 헤더 3개 누락 + 분석 도구 미설치 + 쿠키 동의 미구현 + 오래된 CMS를 사용하는 사이트는 체계적인 소홀을 암시하는 패턴입니다. 이 패턴은 보안 위험, 비즈니스 성숙도, 그리고 판매 기회를 동시에 반영합니다.
Submit a target URL and receive a complimentary intelligence assessment within 24 hours.