[정책제안] 공공 웹사이트는 왜 기본 포트(80, 443)를 써야 하나 — 비표준 포트의 숨은 비용과 위험

By PLURA

요약 한 줄
원칙: 대국민 서비스는 443 고정, 80→443 리다이렉트.
금지: 비표준 포트(8080·8443 등) 대외 공개.
이유: 접근성·규정준수·보안운영·성능 저해 + 타 기관 아웃바운드 완화 강제 → 공격면 급증.

Policy Proposal – Website Standard

0) 정책 제안 요지

  • 정책 목표: 공공 웹·API의 표준 포트 일원화(80/443)로 접근성·보안·운영 효율을 동시 개선.

  • 적용 범위: 중앙·지자체·공공기관의 대외 공개 웹/모바일/API 엔드포인트 (내부 전용·사설망 제외).

  • 핵심 권고:

    1. 공개 서비스는 443만 서비스, 80은 301/308 → 443 리다이렉트.
    2. 비표준 포트 공개 금지(예외는 심사제).
    3. 하위 서비스는 도메인/경로 기반 게시(역프록시/ALB)로 전환.
    4. ACME 자동갱신·HSTS·HTTP/3(UDP 443) 기본화.

  • 성과 지표(예): ① 비표준 포트 노출 URL 0건, ② 기관 간 아웃바운드 예외 규칙 50%↓, ③ 인증서 만료 사고 90%↓, ④ 제한망(학교·군·공공 Wi-Fi) 접근 실패율 80%↓.

1) 포트 변경의 “겉보기” 장점

  • 스캐너 소음 감소: 80/443 대상 무차별 트래픽 일부 회피 → 로그 노이즈 일시 감소
  • 임시 병행 운영: 역프록시/ALB 전환·테스트 시 임시 포트로 빠른 띄움
  • 관리 콘솔 분리 착시: 운영자 UI를 별도 포트로 분리한 듯 보임

단, 위 장점은 운영상 임시 편의에 그칩니다. 인터넷 스캐너는 전 포트(0–65535)를 훑기 때문에 “포트 숨기기”는 방어책이 아닙니다. 더불어 비표준 포트를 쓰는 기관은 공지·매뉴얼·앱 설정(JS 번들)·OAuth/결제 콜백·robots.txt/sitemap.xml·검색 인덱스·CT 로그 등에서 도메인:포트가 쉽게 노출되어 스캐너 없이도 표적화됩니다.

2) 치명적 단점(=공공에서 쓰면 안 되는 이유)

  1. 규정·표준 미준수: 공공 웹/API는 HTTPS(443) 강제, 80은 리다이렉트 용도 권장.
  2. ACME 자동갱신 장애: HTTP-01(80 전용), TLS-ALPN-01(443 전용) 제약.
  3. HSTS/HSTS Preload 제약: 초기 접속 보호·프리로드 제출 요건 충족 곤란.
  4. HTTP/3(QUIC) 이점 상실: 기본 UDP 443 경로 최적화를 못 받음.
  5. CDN/WAF/프록시 제약: 80/443 중심 생태계 → 비표준 포트는 예외 폭증.
  6. 제한망 접속 실패: 학교·군·공공 Wi-Fi 등은 아웃바운드 80/443만 허용하는 경우가 흔함.
  7. 보안 가시성 공백: DLP/프록시/IDS 규칙이 80/443에 최적화 → 사각 확대.
  8. 검색/미리보기/링크 신뢰도 저하: https://example.go.kr:8443는 프리뷰/스크랩봇 실패·스팸 판정 증가.
  9. 연계(SSO/OAuth/결제/민원) 장애: 443 가정 불일치 → 콜백/리다이렉트 예외 급증.
  10. 쿠키·오리진(CORS) 복잡성: 오리진은 포트 포함 → 정책/프록시 라우팅 난이도↑.
  11. 운영 자동화·헬스체크 저하: 업타임 모니터·런북·봇 기본값이 443 가정 → 예외·휴먼에러↑.
  12. 보안성 착시: 포트만 바꿔도 자동화 공격은 전 포트를 스캔.
  13. 레거시/모바일/임베디드 호환성: 일부 SDK·앱은 443 전제 → 오동작 다발.
  14. 민원 UX 악화: 문서·QR에 포트 표기 필요 → 오타·접근 실패·콜센터 부하.

3) 비표준 포트가 타 기관의 아웃바운드 방화벽까지 연다

비표준 포트를 대외 공개하면 해당 서비스에 접속해야 하는 모든 기관·기업은 두 선택지뿐입니다.

  • (A) IP+포트 정밀 허용: 대상 모든 IP와 비표준 포트를 아웃바운드 허용 목록에 상시 반영(클라우드/CDN 변동 추적 부담).

  • (B) 포트만 광범위 허용: IP 제한 없이 해당 포트(예: 8443/TCP) 전체를 대외 허용.

    • 이때 내부 자산은 같은 포트임의 외부와 자유롭게 통신 가능 → C2·데이터 유출·프록시 악용 위험 급증.
    • 즉, 비표준 포트 채택은 타 조직의 보안정책 완화를 강제합니다.

결론: 비표준 포트는 우리 시스템의 위험을 넘어, 연결되는 모든 조직의 아웃바운드 보안 경계를 약화시킵니다. 공공 영역에서 특히 치명적입니다.

4) 국내 비표준 포트 사용 사례(실제 예시)

아래는 공식 페이지/공지/연계 문서에 표기된 “도메인:포트” 공개 사례입니다. 시점에 따라 운영 방식이 바뀔 수 있으니, 게시 전 최신 페이지로 재확인하세요.

  • 국세청(NTS) — 문서 뷰어 링크에 :8080 표기 전주·북전주세무서 공지의 PPT 바로보기doc.nts.go.kr:8080/SynapDocViewServer/... 형식으로 안내됩니다. (g.nts.go.kr)

  • 통계청 — 통계분류포털(KSSC) 안내문에 :8443 표기 KOSIS(영문 Q&A) 및 외부 안내문에서 kssc.kostat.go.kr:8443 접속 주소가 공식적으로 안내됩니다. (KOSIS)

(주) 대부분의 메인 홈페이지는 443을 사용합니다. 위와 같이 하위 서비스·전용 포털에서 비표준 포트를 쓰는 경우가 많아, 도메인:포트공지·안내문·문서 뷰어 링크 등에 반복 노출됩니다.

5) 공공 웹서비스 권고안(체크리스트)

  • 대외 공개는 443(HTTPS) 고정, 80은 301/308 → 443 리다이렉트
  • ACME 자동화: 80(HTTP-01) 또는 443(TLS-ALPN-01) 경로로 인증서 자동 발급/갱신
  • HSTS 적용: max-age≥31536000; includeSubDomains (프리로드는 신중히)
  • HTTP/3 활성화: 방화벽에서 UDP 443 허용 검토
  • 역프록시/ALB/Ingress: 다앱 동시 게시 시 포트가 아닌 FQDN/경로로 분리
  • CDN/WAF 표준 포트 사용: 비표준 포트 예외 최소화
  • 관리 콘솔은 공개망 분리: admin.example.go.kr + ZTNA/VPN 뒤, 대외 비표준 포트 금지
  • 제한망 호환성 테스트: 학교·군·공공망·모바일·해외 회선에서 접속성 검증
  • 아웃바운드 영향 분석: 민원·협력기관이 해당 포트를 열지 않아도 되도록 443 고정 설계

6) 예외 운영 원칙(불가피할 때)

  • 내부 전용(사설망·VPN·ZTNA 뒤) 관리/진단 서비스에 한해 비표준 포트 사용
  • 외부 공개가 필요하면 **전용 하위도메인 + 443 게시(역프록시/ALB 종단)**로 전환
  • 불가피한 한시 운영 시 예외 심사폐기 기한 명시, 접속 기관과 IP·포트·TLS 정책 사전 합의

7) 시행 로드맵(권고)

  • T+30일: 기관별 비표준 포트 인벤토리·예외 목록 작성, 도메인/경로 기반 전환 설계
  • T+90일: 역프록시/ALB 종단(443) 전환, ACME 자동화·HSTS 적용, 80→443 리다이렉트
  • T+180일: HTTP/3 활성화, 연계(SSO/OAuth/결제) 포트 제거, 제한망·해외 회선 접근성 검증, 예외 폐기

8) 반론에 대한 간단 답변(FAQ)

  • “우리는 내부 사용자만 써요.” → 내부 전용이면 사설망·ZTNA 뒤에서 필요 시 비표준 포트 사용 가능. 대외 공개 금지가 원칙.
  • “보안을 위해 포트를 바꿨어요.”보안성 착시입니다. 자동화 스캐닝은 전 포트를 탐색하며 공개 문서·앱 설정·CT 로그로도 노출됩니다.
  • “CDN이 안 돼서 포트를 썼어요.”역프록시/ALB로 443 종단 후 내부 포트로 라우팅하세요(운영 편의는 유지, 외부 표기는 443).

맺음말

비표준 포트는 가끔 “임시 편의”를 주지만, 공공 환경에서는 접속성·보안·운영·연계·유지보수 전 영역에 비용과 위험을 전가합니다.

특히 접속 기관들의 아웃바운드 정책 완화를 강요해 사회 전체의 공격면을 키웁니다.

정답은 간단합니다: 443 고정 + 80 리다이렉트. 표준을 따를수록 운영은 쉬워지고, 보안은 강해집니다.

Tags