인도네시아 사이트 보안 – HTTPS, 신뢰 신호, 그리고 검색 평가
인도네시아의 사이버 사고 보고는 매년 증가 추세에 있다. 인도네시아 국가 사이버 및 암호화 기관 BSSN의 집계에 따르면 2023년 한 해에만 약 4억 건의 사이버 위협 시도가 탐지되었고, 그 중 상당수가 이커머스 사이트와 일반 비즈니스 웹사이트를 대상으로 했다. 이 환경에서 사이트 보안은 단순히 사고 예방을 위한 기술적 사항이 아니라 검색 가시성과 사용자 신뢰에 직접적인 영향을 주는 운영 요소가 된다.
구글은 2014년부터 HTTPS를 약한 순위 신호로 사용한다고 공식 발표했고, 2018년부터 Chrome에서 HTTP 사이트를 ‘Not Secure’로 명시한다. 인도네시아 사용자는 모바일 Chrome 점유율이 90퍼센트를 넘기 때문에 HTTP 사이트는 사실상 첫 방문에서 신뢰를 잃는다. 한국 운영자가 .com 또는 .co.id 도메인으로 인도네시아에 진입하면서 인증서 없이 운영하는 사례가 여전히 발견되는데, 이는 검색 노출이 아무리 좋아도 클릭 후 즉시 이탈로 이어진다.
가장 빈번한 3가지 취약점
인도네시아 비즈니스 사이트에서 가장 자주 보고되는 취약점 세 가지는 XSS, SQL 인젝션, 인증되지 않은 파일 업로드다. MDN의 웹 보안 문서에 각각의 정의와 표준 방어 기법이 정리되어 있어 운영자가 점검 체크리스트를 만들 때 출발점으로 삼을 만하다. 워드프레스 기반 사이트는 플러그인 취약점이 추가로 더해진다. 인도네시아 시장에서 사용 빈도가 높은 워드프레스 테마와 플러그인은 한국과 다르며, 일부는 보안 패치가 늦게 적용된다. 따라서 한국에서 안전했던 플러그인 조합이라도 인도네시아에서 사용하기 전 별도 점검이 필요하다.
XSS, 즉 크로스 사이트 스크립팅은 사용자 입력값을 그대로 출력하는 페이지에서 발생한다. 댓글, 검색창, URL 파라미터가 흔한 진입점이다. 인도네시아어 입력에서 발생하는 특이한 패턴 중 하나는 이모지와 특수 문자가 풍부하게 사용된다는 점이다. 한국어 위주의 입력 필터는 이런 문자를 충분히 검증하지 못해 우회가 발생할 수 있다.
SSL 인증서 선택 기준
SSL 인증서는 Let’s Encrypt 같은 무료 인증서로도 기술적 암호화는 충분하다. 그러나 인도네시아 시장에서 EV 인증서 또는 OV 인증서가 만드는 신뢰 차이는 한국보다 크다. 인도네시아 결제 게이트웨이와 연동하는 사이트는 OV 이상의 인증서를 사용하는 것이 권장된다. 인도네시아 BI, 즉 중앙은행이 정한 결제 시스템 가이드라인은 OV 인증서를 명시적으로 요구하지 않지만, 실제 결제사 심사에서 OV 미보유 사이트는 추가 검증을 요구받는다.
인증서의 발급 기관 평판도 중요하다. 일부 저가 인증서는 인도네시아 기업용 보안 감사에서 인정되지 않는다. DigiCert, Sectigo, GlobalSign 같은 주요 발급 기관의 인증서를 사용하는 것이 안전하다. 인증서 갱신 자동화도 필수다. 인도네시아 사이트에서 가장 자주 보고되는 신뢰 사고는 해킹이 아니라 인증서 만료로 인한 ‘연결 안전하지 않음’ 표시다.
워드프레스 사이트의 추가 점검 사항
워드프레스를 인도네시아 시장에서 운영한다면 다음 항목을 매월 점검한다. 코어, 테마, 플러그인의 최신 상태. 관리자 계정의 2단계 인증. 로그인 시도 횟수 제한. 파일 업로드 디렉토리의 PHP 실행 차단. 데이터베이스 접두사 변경. xmlrpc.php 비활성화. wp-config.php의 보안 키 갱신. 백업의 외부 저장 및 복원 테스트.
이 항목 중 가장 자주 빠지는 것이 백업 복원 테스트다. 백업 파일이 있어도 복원이 실패하는 사례가 인도네시아 운영 사이트 약 30퍼센트에서 보고된다. 복원이 실패하는 이유는 PHP 버전 차이, 데이터베이스 인코딩 차이, 미디어 파일 경로 차이가 가장 흔하다. 복원 테스트를 정기적으로 하지 않으면 사고 시점에 백업이 무용지물이 된다.
보안 사고가 검색 노출에 미치는 영향
해킹된 사이트는 구글이 ‘This site may be hacked’ 경고를 검색 결과에 표시한다. 이 경고가 표시되면 클릭률이 평균 95퍼센트 감소한다. 경고 해제는 Google Search Console을 통해 신청하지만, 경고 표시부터 해제까지 평균 7-14일이 걸린다. 그 기간 동안의 트래픽 손실은 회복되지 않는다. 한국 운영자라면 침해사고 발생 시 한국인터넷진흥원의 보호나라를 통해 신고 접수와 분석 지원을 받을 수 있다는 점도 함께 알아두면 좋다.
더 심각한 사례는 사이트가 악성코드 배포 경로로 사용된 경우다. 구글 Safe Browsing 블랙리스트에 등재되면 Chrome, Firefox, Safari가 모두 사이트 접속을 차단한다. 해제까지 수 주가 소요되고, 그 사이 도메인 권위 자체가 회복 불가능한 수준으로 떨어지는 사례가 보고된다. 따라서 보안은 사후 대응이 아니라 사전 차단의 영역이다.
인도네시아 개인정보보호법 PDP의 영향
인도네시아는 2022년 개인정보보호법 PDP를 제정했고, 2024년부터 본격 시행에 들어갔다. 이 법은 GDPR과 유사한 구조를 가지며 개인정보 수집, 처리, 저장, 국외 이전에 대한 명시적 동의를 요구한다. 한국 운영자가 인도네시아 사용자의 개인정보를 한국 서버에 저장한다면 PDP 기준의 국외 이전 동의 절차를 거쳐야 한다.
위반 시 과징금은 매출의 2퍼센트까지 부과 가능하다. 한국 개인정보보호법보다 부담이 크다. 그러나 한국 사이트가 인도네시아 사용자를 대상으로 운영되는 경우 적용 대상이 될 수 있다는 점이 핵심이다. 사이트 푸터의 개인정보 처리방침, 쿠키 동의 배너, 마케팅 수신 동의가 모두 인도네시아어로 제공되어야 한다.
실무적으로는 사이트의 footer에 인도네시아어 ‘Kebijakan Privasi’ 페이지를 별도로 두고, 첫 방문 시 쿠키 동의 배너를 표시한다. 동의 기록은 최소 5년 보관이 권장된다. 한국 운영자가 자주 누락하는 항목은 데이터 보호 책임자 DPO 지정이다. 일정 규모 이상의 데이터를 처리한다면 DPO 지정이 의무화된다.
CSP와 보안 헤더 설정
Content Security Policy, 즉 CSP는 XSS 방어의 핵심 메커니즘이다. CSP를 적절히 설정하면 외부 스크립트의 무단 실행을 차단할 수 있다. 그러나 CSP 설정은 사이트의 자바스크립트 구조에 따라 정밀한 조정이 필요하다. 너무 엄격하면 정상 기능이 깨지고, 너무 느슨하면 방어 효과가 없다.
권장 시작점은 ‘default-src self’ 정책이다. 외부 스크립트는 명시적으로 허용된 도메인만 실행되도록 제한한다. 인도네시아 시장에서 자주 사용되는 외부 스크립트는 Google Analytics, Google Tag Manager, Facebook Pixel, TikTok Pixel이다. 이 도메인들을 명시적으로 허용 목록에 추가한다.
CSP 외에 추가로 설정해야 할 헤더는 다음과 같다. X-Frame-Options로 클릭재킹 방어, Strict-Transport-Security로 HTTPS 강제, X-Content-Type-Options로 MIME 스니핑 차단, Referrer-Policy로 referrer 정보 통제. 이 헤더들은 모두 사이트 보안 점수에 직접 반영되고, Mozilla Observatory 같은 도구로 점수를 확인할 수 있다.
인도네시아 결제 게이트웨이 연동 시의 보안 점검
Xendit, Midtrans, Doku 같은 인도네시아 주요 결제 게이트웨이를 연동할 때 추가로 점검할 보안 항목이 있다. 첫째, 콜백 URL이 HTTPS로 설정되어 있는가. 결제 완료 콜백은 결제사 서버에서 사이트 서버로 직접 전송되며 HTTP면 중간자 공격에 노출된다. 둘째, 결제 요청 시 HMAC 서명이 정확히 검증되는가. 결제 금액 조작 공격을 막는 핵심 방어선이다.
셋째, 결제 콜백을 받은 후 사이트 측에서 다시 결제사 API로 결제 상태를 확인하는 이중 검증이 구현되어 있는가. 가짜 콜백 요청으로 주문 상태를 조작하는 시도가 보고된다. 마지막으로, 결제 관련 로그가 충분히 상세하게 기록되는가. 분쟁 발생 시 로그가 부족하면 사용자 주장을 반박할 근거가 없어진다. 결제 시도, 콜백 수신, 상태 확인, 최종 처리의 각 단계가 모두 로그에 남아야 한다.
다음 단계: 신뢰가 만드는 전환
보안을 갖춘 사이트는 시작점이지 결승선이 아니다. 보안 신호를 사용자에게 시각적으로 전달하는 방식이 전환율을 결정한다. 결제 페이지의 보안 배지 위치, 환불 정책의 노출 방식, 사업자 정보 표시의 정확성이 모두 함께 작용한다. 인도네시아 사용자의 결제 직전 이탈 패턴과 신뢰 신호 배치 사례는 골드러시 카테고리에서 실제 사이트 사례와 함께 다룬다. 보안은 SEO 신호이면서 동시에 마케팅 신호이기도 하다.