릴리스: v0.1.39 티어표 편집 헤더 레이아웃 정리

릴리스: v0.1.38 아이템 이름 수정과 티어표 썸네일 추가
릴리스: v0.1.37 운영 배포 설정과 로컬 변경 동기화
2026-03-26 18:24:18 +09:00 · 2026-03-26 18:14:54 +09:00 · 2026-03-26 17:53:32 +09:00 · 2026-03-26 17:44:44 +09:00 · 2026-03-26 17:33:47 +09:00 · 2026-03-26 17:30:03 +09:00
30 changed files with 3209 additions and 490 deletions
--- a/.dockerignore
+++ b/.dockerignore
@@ -0,0 +1,11 @@
+.git
+.gitignore
+.DS_Store
+node_modules
+frontend/node_modules
+frontend/dist
+backend/node_modules
+backend/.sessions
+backend/uploads
+docker-compose.yml
+docs
--- a/.env.production.example
+++ b/.env.production.example
@@ -0,0 +1,5 @@
+MARIADB_ROOT_PASSWORD=change-this-root-password
+MARIADB_DATABASE=tier_cursor
+MARIADB_USER=tier_cursor
+MARIADB_PASSWORD=change-this-db-password
+SESSION_SECRET=change-this-session-secret
--- a/README.md
+++ b/README.md
@@ -39,6 +39,18 @@ VITE_API_ORIGIN=http://localhost:5179 npm run dev

 자세한 내용은 [docs/local-mariadb.md](/Users/bicute/Desktop/zenn.dev/tier-cursor/docs/local-mariadb.md)를 참고하세요.

+## UGREEN NAS 운영 배포
+
+운영용은 `MariaDB + backend + frontend` 3컨테이너 구조를 권장합니다.
+
+```bash
+cp .env.production.example .env.production
+docker compose --env-file .env.production -f docker-compose.prod.yml up -d --build
+```
+
+- 프로덕션 컴포즈: [docker-compose.prod.yml](/Users/bicute/Desktop/zenn.dev/tier-cursor/docker-compose.prod.yml)
+- 배포 가이드: [docs/ugreen-nas-deploy.md](/Users/bicute/Desktop/zenn.dev/tier-cursor/docs/ugreen-nas-deploy.md)
+
 ## 사용 흐름(현재 구현)

 - **게임 선택**: `/`에서 게임 클릭
--- a/backend/Dockerfile
+++ b/backend/Dockerfile
@@ -0,0 +1,15 @@
+FROM node:20-alpine
+
+WORKDIR /app
+
+COPY backend/package*.json ./
+RUN npm ci --omit=dev
+
+COPY backend/ ./
+
+ENV NODE_ENV=production
+ENV PORT=5179
+
+EXPOSE 5179
+
+CMD ["node", "index.js"]
--- a/backend/index.js
+++ b/backend/index.js
@@ -24,7 +24,7 @@ const allowedOrigins = (process.env.CORS_ORIGINS || '')

 const FileStore = FileStoreFactory(session)

-;['uploads/avatars', 'uploads/games', 'uploads/custom', '.sessions'].forEach((relativePath) => {
+;['uploads/avatars', 'uploads/games', 'uploads/custom', 'uploads/tierlists', '.sessions'].forEach((relativePath) => {
  fs.mkdirSync(path.join(__dirname, relativePath), { recursive: true })
 })

@@ -53,6 +53,7 @@ app.use(
      retries: 0,
    }),
    secret: SESSION_SECRET,
+    proxy: TRUST_PROXY > 0,
    resave: false,
    saveUninitialized: false,
    cookie: {
--- a/backend/src/db.js
+++ b/backend/src/db.js
@@ -6,6 +6,7 @@ const DB_USER = process.env.DB_USER || 'root'
 const DB_PASSWORD = process.env.DB_PASSWORD || ''
 const DB_NAME = process.env.DB_NAME || 'tier_cursor'
 const DB_CONNECTION_LIMIT = process.env.DB_CONNECTION_LIMIT ? Number(process.env.DB_CONNECTION_LIMIT) : 10
+const FREEFORM_GAME_ID = 'freeform'

 let poolPromise = null
 let initPromise = null
@@ -45,6 +46,7 @@ function mapGameRow(row) {
    id: row.id,
    name: row.name,
    thumbnailSrc: row.thumbnail_src || '',
+    displayRank: row.display_rank == null ? null : Number(row.display_rank),
    createdAt: Number(row.created_at),
  }
 }
@@ -65,8 +67,12 @@ function mapTierListRow(row) {
  return {
    id: row.id,
    authorId: row.author_id,
+    authorName: getUserDisplayName(row),
+    authorAccountName: getUserAccountName(row),
+    authorAvatarSrc: row.avatar_src || '',
    gameId: row.game_id,
    title: row.title,
+    thumbnailSrc: row.thumbnail_src || '',
    description: row.description || '',
    isPublic: !!row.is_public,
    groups: parseJson(row.groups_json, []),
@@ -76,6 +82,22 @@ function mapTierListRow(row) {
  }
 }

+function getUserDisplayName(row) {
+  if (!row) return ''
+  const nickname = (row.nickname || '').trim()
+  if (nickname) return nickname
+  const email = (row.email || '').trim()
+  if (!email) return ''
+  return email.split('@')[0] || email
+}
+
+function getUserAccountName(row) {
+  if (!row) return ''
+  const email = (row.email || '').trim()
+  if (!email) return ''
+  return email.split('@')[0] || email
+}
+
 async function createPool() {
  const rootConnection = await mysql.createConnection({
    host: DB_HOST,
@@ -134,10 +156,16 @@ async function ensureSchema() {
        id VARCHAR(120) PRIMARY KEY,
        name VARCHAR(120) NOT NULL,
        thumbnail_src VARCHAR(255) NOT NULL DEFAULT '',
+        display_rank INT NULL DEFAULT NULL,
        created_at BIGINT NOT NULL
      ) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4
    `)

+    const displayRankColumns = await query("SHOW COLUMNS FROM games LIKE 'display_rank'")
+    if (!displayRankColumns.length) {
+      await query('ALTER TABLE games ADD COLUMN display_rank INT NULL DEFAULT NULL AFTER thumbnail_src')
+    }
+
    await query(`
      CREATE TABLE IF NOT EXISTS game_items (
        id VARCHAR(64) PRIMARY KEY,
@@ -168,6 +196,7 @@ async function ensureSchema() {
        author_id VARCHAR(64) NOT NULL,
        game_id VARCHAR(120) NOT NULL,
        title VARCHAR(120) NOT NULL,
+        thumbnail_src VARCHAR(255) NOT NULL DEFAULT '',
        description TEXT NOT NULL,
        is_public TINYINT(1) NOT NULL DEFAULT 0,
        groups_json LONGTEXT NOT NULL,
@@ -182,16 +211,22 @@ async function ensureSchema() {
      ) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4
    `)

-    await query(`
-      CREATE TABLE IF NOT EXISTS game_suggestions (
-        id VARCHAR(64) PRIMARY KEY,
-        name VARCHAR(120) NOT NULL,
-        created_at BIGINT NOT NULL
-      ) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4
-    `)
+    const tierListThumbnailColumns = await query("SHOW COLUMNS FROM tierlists LIKE 'thumbnail_src'")
+    if (!tierListThumbnailColumns.length) {
+      await query("ALTER TABLE tierlists ADD COLUMN thumbnail_src VARCHAR(255) NOT NULL DEFAULT '' AFTER title")
+    }
+
+    await query(
+      `
+        INSERT INTO games (id, name, thumbnail_src, created_at)
+        VALUES (?, ?, ?, ?)
+        ON DUPLICATE KEY UPDATE name = VALUES(name)
+      `,
+      [FREEFORM_GAME_ID, '직접 티어표 만들기', '', now()]
+    )

    const countRows = await query('SELECT COUNT(*) AS count FROM games')
-    if (Number(countRows[0]?.count || 0) === 0) {
+    if (Number(countRows[0]?.count || 0) <= 1) {
      const createdAt = now()
      await query(
        `
@@ -277,13 +312,51 @@ async function updateUserProfile({ id, nickname, avatarSrc }) {
  return findUserById(id)
 }

+async function listUsers() {
+  const rows = await query(
+    'SELECT id, email, nickname, is_admin, avatar_src, created_at FROM users ORDER BY created_at ASC, email ASC'
+  )
+  return rows.map(mapUserRow)
+}
+
+async function adminUpdateUser({ id, email, nickname, isAdmin }) {
+  await query('UPDATE users SET email = ?, nickname = ?, is_admin = ? WHERE id = ?', [
+    email,
+    nickname || '',
+    isAdmin ? 1 : 0,
+    id,
+  ])
+  return findUserById(id)
+}
+
+async function adminUpdateUserPassword({ id, passwordHash }) {
+  await query('UPDATE users SET password_hash = ? WHERE id = ?', [passwordHash, id])
+  return findUserById(id)
+}
+
+async function adminDeleteUser(id) {
+  await query('DELETE FROM users WHERE id = ?', [id])
+}
+
 async function listGames() {
-  const rows = await query('SELECT id, name, thumbnail_src, created_at FROM games ORDER BY created_at ASC, name ASC')
+  const rows = await query(
+    `
+      SELECT id, name, thumbnail_src, display_rank, created_at
+      FROM games
+      WHERE id <> ?
+      ORDER BY
+        CASE WHEN display_rank IS NULL THEN 1 ELSE 0 END ASC,
+        display_rank ASC,
+        created_at DESC,
+        name ASC
+    `,
+    [FREEFORM_GAME_ID]
+  )
  return rows.map(mapGameRow)
 }

 async function findGameById(id) {
-  const rows = await query('SELECT id, name, thumbnail_src, created_at FROM games WHERE id = ? LIMIT 1', [id])
+  const rows = await query('SELECT id, name, thumbnail_src, display_rank, created_at FROM games WHERE id = ? LIMIT 1', [id])
  return mapGameRow(rows[0])
 }

@@ -303,7 +376,13 @@ async function getGameDetail(gameId) {
 }

 async function createGame({ id, name }) {
-  await query('INSERT INTO games (id, name, thumbnail_src, created_at) VALUES (?, ?, ?, ?)', [id, name, '', now()])
+  await query('INSERT INTO games (id, name, thumbnail_src, display_rank, created_at) VALUES (?, ?, ?, ?, ?)', [
+    id,
+    name,
+    '',
+    null,
+    now(),
+  ])
  return findGameById(id)
 }

@@ -325,6 +404,12 @@ async function createGameItem({ id, gameId, src, label }) {
  return mapGameItemRow(rows[0])
 }

+async function updateGameItemLabel(itemId, label) {
+  await query('UPDATE game_items SET label = ? WHERE id = ?', [label, itemId])
+  const rows = await query('SELECT id, game_id, src, label, created_at FROM game_items WHERE id = ? LIMIT 1', [itemId])
+  return mapGameItemRow(rows[0])
+}
+
 async function deleteGameItem(itemId) {
  const gameItemRows = await query('SELECT game_id FROM game_items WHERE id = ? LIMIT 1', [itemId])
  const gameId = gameItemRows[0]?.game_id
@@ -361,6 +446,20 @@ async function deleteGame(gameId) {
  await query('DELETE FROM games WHERE id = ?', [gameId])
 }

+async function updateGameDisplayOrder(gameIds) {
+  const normalizedIds = Array.from(new Set((gameIds || []).filter((id) => id && id !== FREEFORM_GAME_ID))).slice(0, 50)
+
+  await query('UPDATE games SET display_rank = NULL WHERE id <> ?', [FREEFORM_GAME_ID])
+
+  await Promise.all(
+    normalizedIds.map((gameId, index) =>
+      query('UPDATE games SET display_rank = ? WHERE id = ? AND id <> ?', [index + 1, gameId, FREEFORM_GAME_ID])
+    )
+  )
+
+  return listGames()
+}
+
 async function createCustomItem({ id, ownerId, src, label }) {
  const createdAt = now()
  await query('INSERT INTO custom_items (id, owner_id, src, label, created_at) VALUES (?, ?, ?, ?, ?)', [
@@ -373,10 +472,119 @@ async function createCustomItem({ id, ownerId, src, label }) {
  return { id, ownerId, src, label, origin: 'custom', createdAt }
 }

-async function createGameSuggestion({ id, name }) {
-  const createdAt = now()
-  await query('INSERT INTO game_suggestions (id, name, created_at) VALUES (?, ?, ?)', [id, name, createdAt])
-  return { id, name, createdAt }
+async function getCustomItemUsageMap() {
+  const rows = await query('SELECT groups_json, pool_json FROM tierlists')
+  const usageMap = new Map()
+
+  rows.forEach((row) => {
+    const groups = parseJson(row.groups_json, [])
+    const pool = parseJson(row.pool_json, [])
+
+    groups.forEach((group) => {
+      ;(group?.itemIds || []).forEach((itemId) => {
+        usageMap.set(itemId, (usageMap.get(itemId) || 0) + 1)
+      })
+    })
+
+    pool.forEach((item) => {
+      if (item?.id) {
+        usageMap.set(item.id, (usageMap.get(item.id) || 0) + 1)
+      }
+    })
+  })
+
+  return usageMap
+}
+
+async function listCustomItems({ queryText = '', page = 1, limit = 50, orphanOnly = false } = {}) {
+  const normalizedLimit = Math.min(Math.max(Number(limit) || 50, 1), 200)
+  const normalizedPage = Math.max(Number(page) || 1, 1)
+  const hasQuery = !!(queryText || '').trim()
+  const search = `%${(queryText || '').trim()}%`
+  const whereClause = hasQuery ? 'WHERE c.label LIKE ? OR c.src LIKE ? OR u.email LIKE ? OR u.nickname LIKE ?' : ''
+  const params = hasQuery ? [search, search, search, search] : []
+
+  const rows = await query(
+    `
+      SELECT
+        c.id,
+        c.owner_id,
+        c.src,
+        c.label,
+        c.created_at,
+        u.nickname,
+        u.email
+      FROM custom_items c
+      INNER JOIN users u ON u.id = c.owner_id
+      ${whereClause}
+      ORDER BY c.created_at DESC
+    `,
+    params
+  )
+
+  const usageMap = await getCustomItemUsageMap()
+  const allItems = rows
+    .map((row) => ({
+      id: row.id,
+      ownerId: row.owner_id,
+      src: row.src,
+      label: row.label,
+      createdAt: Number(row.created_at),
+      ownerName: row.nickname || row.email,
+      ownerEmail: row.email,
+      usageCount: usageMap.get(row.id) || 0,
+    }))
+    .filter((item) => (orphanOnly ? item.usageCount === 0 : true))
+
+  const total = allItems.length
+  const offset = (normalizedPage - 1) * normalizedLimit
+  const pagedItems = allItems.slice(offset, offset + normalizedLimit)
+
+  return {
+    items: pagedItems,
+    total,
+    page: normalizedPage,
+    limit: normalizedLimit,
+  }
+}
+
+async function findUnusedCustomItems({ queryText = '' } = {}) {
+  const hasQuery = !!(queryText || '').trim()
+  const search = `%${(queryText || '').trim()}%`
+  const whereClause = hasQuery ? 'WHERE c.label LIKE ? OR c.src LIKE ? OR u.email LIKE ? OR u.nickname LIKE ?' : ''
+  const params = hasQuery ? [search, search, search, search] : []
+
+  const rows = await query(
+    `
+      SELECT
+        c.id,
+        c.owner_id,
+        c.src,
+        c.label,
+        c.created_at,
+        u.nickname,
+        u.email
+      FROM custom_items c
+      INNER JOIN users u ON u.id = c.owner_id
+      ${whereClause}
+      ORDER BY c.created_at DESC
+    `,
+    params
+  )
+
+  const usageMap = await getCustomItemUsageMap()
+  return rows
+    .map((row) => ({
+      id: row.id,
+      ownerId: row.owner_id,
+      src: row.src,
+      label: row.label,
+      createdAt: Number(row.created_at),
+      ownerName: row.nickname || row.email,
+      ownerEmail: row.email,
+      usageCount: usageMap.get(row.id) || 0,
+    }))
+    .filter((item) => item.usageCount === 0)
 }

 async function listPublicTierLists(gameId) {
@@ -393,11 +601,13 @@ async function listPublicTierLists(gameId) {
        t.id,
        t.game_id,
        t.title,
+        t.thumbnail_src,
        t.created_at,
        t.updated_at,
        t.author_id,
        u.nickname,
-        u.email
+        u.email,
+        u.avatar_src
      FROM tierlists t
      INNER JOIN users u ON u.id = t.author_id
      ${whereClause}
@@ -411,19 +621,33 @@ async function listPublicTierLists(gameId) {
    id: row.id,
    gameId: row.game_id,
    title: row.title,
+    thumbnailSrc: row.thumbnail_src || '',
    createdAt: Number(row.created_at),
    updatedAt: Number(row.updated_at),
    authorId: row.author_id,
-    authorName: row.nickname || row.email,
+    authorName: getUserDisplayName(row),
+    authorAccountName: getUserAccountName(row),
+    authorAvatarSrc: row.avatar_src || '',
  }))
 }

 async function listUserTierLists(userId) {
  const rows = await query(
    `
-      SELECT id, game_id, title, created_at, updated_at, is_public
-      FROM tierlists
-      WHERE author_id = ?
+      SELECT
+        t.id,
+        t.game_id,
+        t.title,
+        t.thumbnail_src,
+        t.created_at,
+        t.updated_at,
+        t.is_public,
+        u.nickname,
+        u.email,
+        u.avatar_src
+      FROM tierlists t
+      INNER JOIN users u ON u.id = t.author_id
+      WHERE t.author_id = ?
      ORDER BY updated_at DESC
    `,
    [userId]
@@ -433,18 +657,37 @@ async function listUserTierLists(userId) {
    id: row.id,
    gameId: row.game_id,
    title: row.title,
+    thumbnailSrc: row.thumbnail_src || '',
    createdAt: Number(row.created_at),
    updatedAt: Number(row.updated_at),
    isPublic: !!row.is_public,
+    authorName: getUserDisplayName(row),
+    authorAccountName: getUserAccountName(row),
+    authorAvatarSrc: row.avatar_src || '',
  }))
 }

 async function findTierListById(id) {
  const rows = await query(
    `
-      SELECT id, author_id, game_id, title, description, is_public, groups_json, pool_json, created_at, updated_at
-      FROM tierlists
-      WHERE id = ?
+      SELECT
+        t.id,
+        t.author_id,
+        t.game_id,
+        t.title,
+        t.thumbnail_src,
+        t.description,
+        t.is_public,
+        t.groups_json,
+        t.pool_json,
+        t.created_at,
+        t.updated_at,
+        u.nickname,
+        u.email,
+        u.avatar_src
+      FROM tierlists t
+      INNER JOIN users u ON u.id = t.author_id
+      WHERE t.id = ?
      LIMIT 1
    `,
    [id]
@@ -452,17 +695,48 @@ async function findTierListById(id) {
  return mapTierListRow(rows[0])
 }

-async function saveTierList({ id, authorId, gameId, title, description, isPublic, groups, pool }) {
+async function deleteTierList(id) {
+  await query('DELETE FROM tierlists WHERE id = ?', [id])
+}
+
+async function findCustomItemsByIds(ids) {
+  if (!ids.length) return []
+  const placeholders = ids.map(() => '?').join(', ')
+  const rows = await query(
+    `
+      SELECT id, owner_id, src, label, created_at
+      FROM custom_items
+      WHERE id IN (${placeholders})
+    `,
+    ids
+  )
+
+  return rows.map((row) => ({
+    id: row.id,
+    ownerId: row.owner_id,
+    src: row.src,
+    label: row.label,
+    createdAt: Number(row.created_at),
+  }))
+}
+
+async function deleteCustomItems(ids) {
+  if (!ids.length) return
+  const placeholders = ids.map(() => '?').join(', ')
+  await query(`DELETE FROM custom_items WHERE id IN (${placeholders})`, ids)
+}
+
+async function saveTierList({ id, authorId, gameId, title, thumbnailSrc = '', description, isPublic, groups, pool }) {
  const existing = id ? await findTierListById(id) : null

  if (existing) {
    await query(
      `
        UPDATE tierlists
-        SET title = ?, description = ?, is_public = ?, groups_json = ?, pool_json = ?, updated_at = ?
+        SET title = ?, thumbnail_src = ?, description = ?, is_public = ?, groups_json = ?, pool_json = ?, updated_at = ?
        WHERE id = ?
      `,
-      [title, description || '', isPublic ? 1 : 0, serializeJson(groups), serializeJson(pool), now(), existing.id]
+      [title, thumbnailSrc, description || '', isPublic ? 1 : 0, serializeJson(groups), serializeJson(pool), now(), existing.id]
    )
    return findTierListById(existing.id)
  }
@@ -471,11 +745,11 @@ async function saveTierList({ id, authorId, gameId, title, description, isPublic
  await query(
    `
      INSERT INTO tierlists (
-        id, author_id, game_id, title, description, is_public, groups_json, pool_json, created_at, updated_at
+        id, author_id, game_id, title, thumbnail_src, description, is_public, groups_json, pool_json, created_at, updated_at
      )
-      VALUES (?, ?, ?, ?, ?, ?, ?, ?, ?, ?)
+      VALUES (?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?)
    `,
-    [id, authorId, gameId, title, description || '', isPublic ? 1 : 0, serializeJson(groups), serializeJson(pool), createdAt, createdAt]
+    [id, authorId, gameId, title, thumbnailSrc, description || '', isPublic ? 1 : 0, serializeJson(groups), serializeJson(pool), createdAt, createdAt]
  )
  return findTierListById(id)
 }
@@ -488,6 +762,10 @@ module.exports = {
  findUserById,
  createUser,
  updateUserProfile,
+  listUsers,
+  adminUpdateUser,
+  adminUpdateUserPassword,
+  adminDeleteUser,
  listGames,
  findGameById,
  listGameItems,
@@ -495,12 +773,18 @@ module.exports = {
  createGame,
  updateGameThumbnail,
  createGameItem,
+  updateGameItemLabel,
  deleteGameItem,
  deleteGame,
+  updateGameDisplayOrder,
  createCustomItem,
-  createGameSuggestion,
+  listCustomItems,
+  findUnusedCustomItems,
  listPublicTierLists,
  listUserTierLists,
  findTierListById,
+  deleteTierList,
+  findCustomItemsByIds,
+  deleteCustomItems,
  saveTierList,
 }
--- a/backend/src/routes/admin.js
+++ b/backend/src/routes/admin.js
@@ -1,15 +1,29 @@
+const fs = require('fs/promises')
 const path = require('path')
 const express = require('express')
 const multer = require('multer')
+const bcrypt = require('bcryptjs')
 const { z } = require('zod')
 const { nanoid } = require('nanoid')
 const {
+  findUserById,
  findGameById,
  createGame,
+  listGames,
  updateGameThumbnail,
  createGameItem,
+  updateGameItemLabel,
  deleteGameItem,
  deleteGame,
+  updateGameDisplayOrder,
+  listCustomItems,
+  findUnusedCustomItems,
+  findCustomItemsByIds,
+  deleteCustomItems,
+  listUsers,
+  adminUpdateUser,
+  adminUpdateUserPassword,
+  adminDeleteUser,
 } = require('../db')
 const { requireAdmin } = require('../middleware/auth')

@@ -21,6 +35,18 @@ function buildUploadFilename(file) {
  return `${Date.now()}-${nanoid()}${safeExt}`
 }

+function buildItemLabelFromFilename(file) {
+  const originalName = file?.originalname || ''
+  const base = path.basename(originalName, path.extname(originalName))
+  const normalized = base
+    .replace(/[_-]+/g, ' ')
+    .replace(/\s+/g, ' ')
+    .trim()
+    .slice(0, 60)
+
+  return normalized || 'item'
+}
+
 const upload = multer({
  storage: multer.diskStorage({
    destination: (req, file, cb) => cb(null, path.join(__dirname, '..', '..', 'uploads', 'games')),
@@ -39,6 +65,20 @@ router.post('/games', requireAdmin, async (req, res) => {
  res.json({ game })
 })

+router.patch('/games/display-order', requireAdmin, async (req, res) => {
+  const schema = z.object({
+    gameIds: z.array(z.string().min(1)).max(50),
+  })
+  const parsed = schema.safeParse(req.body)
+  if (!parsed.success) return res.status(400).json({ error: 'bad_request' })
+
+  const games = await listGames()
+  const validGameIds = new Set(games.map((game) => game.id))
+  const filteredIds = parsed.data.gameIds.filter((gameId) => validGameIds.has(gameId))
+  const updatedGames = await updateGameDisplayOrder(filteredIds)
+  res.json({ games: updatedGames })
+})
+
 router.post('/games/:gameId/thumbnail', requireAdmin, upload.single('thumbnail'), async (req, res) => {
  if (!req.file) return res.status(400).json({ error: 'file_required' })
  const game = await findGameById(req.params.gameId)
@@ -47,20 +87,27 @@ router.post('/games/:gameId/thumbnail', requireAdmin, upload.single('thumbnail')
  res.json({ game: updated })
 })

-router.post('/games/:gameId/images', requireAdmin, upload.single('image'), async (req, res) => {
-  if (!req.file) return res.status(400).json({ error: 'file_required' })
-  const schema = z.object({ label: z.string().min(1).max(60) })
-  const parsed = schema.safeParse(req.body)
-  if (!parsed.success) return res.status(400).json({ error: 'bad_request' })
+router.post('/games/:gameId/images', requireAdmin, upload.array('images', 50), async (req, res) => {
+  const files = Array.isArray(req.files) ? req.files : []
+  if (!files.length) return res.status(400).json({ error: 'file_required' })
  const game = await findGameById(req.params.gameId)
  if (!game) return res.status(404).json({ error: 'not_found' })
-  const item = await createGameItem({
-    id: nanoid(),
-    gameId: game.id,
-    src: `/uploads/games/${req.file.filename}`,
-    label: parsed.data.label,
-  })
-  res.json({ item })
+
+  const manualLabel = typeof req.body?.label === 'string' ? req.body.label.trim() : ''
+  if (manualLabel && manualLabel.length > 60) return res.status(400).json({ error: 'bad_request' })
+
+  const items = await Promise.all(
+    files.map((file, index) =>
+      createGameItem({
+        id: nanoid(),
+        gameId: game.id,
+        src: `/uploads/games/${file.filename}`,
+        label: index === 0 && manualLabel ? manualLabel : buildItemLabelFromFilename(file),
+      })
+    )
+  )
+
+  res.json({ item: items[0], items })
 })

 router.delete('/games/:gameId/items/:itemId', requireAdmin, async (req, res) => {
@@ -70,6 +117,19 @@ router.delete('/games/:gameId/items/:itemId', requireAdmin, async (req, res) =>
  res.json({ ok: true })
 })

+router.patch('/games/:gameId/items/:itemId', requireAdmin, async (req, res) => {
+  const schema = z.object({ label: z.string().trim().min(1).max(60) })
+  const parsed = schema.safeParse(req.body)
+  if (!parsed.success) return res.status(400).json({ error: 'bad_request' })
+
+  const game = await findGameById(req.params.gameId)
+  if (!game) return res.status(404).json({ error: 'not_found' })
+
+  const updated = await updateGameItemLabel(req.params.itemId, parsed.data.label)
+  if (!updated || updated.gameId !== game.id) return res.status(404).json({ error: 'not_found' })
+  res.json({ item: updated })
+})
+
 router.delete('/games/:gameId', requireAdmin, async (req, res) => {
  const game = await findGameById(req.params.gameId)
  if (!game) return res.status(404).json({ error: 'not_found' })
@@ -77,4 +137,131 @@ router.delete('/games/:gameId', requireAdmin, async (req, res) => {
  res.json({ ok: true })
 })

+router.get('/custom-items', requireAdmin, async (req, res) => {
+  const schema = z.object({
+    q: z.string().trim().max(120).optional().default(''),
+    page: z.coerce.number().int().min(1).optional().default(1),
+    limit: z.coerce.number().int().min(1).max(200).optional().default(50),
+    orphanOnly: z
+      .union([z.literal('true'), z.literal('false'), z.boolean()])
+      .optional()
+      .default('false')
+      .transform((value) => value === true || value === 'true'),
+  })
+  const parsed = schema.safeParse(req.query)
+  if (!parsed.success) return res.status(400).json({ error: 'bad_request' })
+
+  const result = await listCustomItems({
+    queryText: parsed.data.q,
+    page: parsed.data.page,
+    limit: parsed.data.limit,
+    orphanOnly: parsed.data.orphanOnly,
+  })
+  res.json(result)
+})
+
+async function removeCustomItemFiles(items) {
+  await Promise.all(
+    items.map(async (item) => {
+      if (!item?.src || !item.src.startsWith('/uploads/custom/')) return
+      const absolutePath = path.join(__dirname, '..', '..', item.src.replace(/^\//, ''))
+      try {
+        await fs.unlink(absolutePath)
+      } catch (e) {
+        if (e?.code !== 'ENOENT') throw e
+      }
+    })
+  )
+}
+
+router.delete('/custom-items/:itemId', requireAdmin, async (req, res) => {
+  const result = await listCustomItems({ page: 1, limit: 200, orphanOnly: false })
+  const target = result.items.find((item) => item.id === req.params.itemId)
+  if (!target) return res.status(404).json({ error: 'not_found' })
+  if (target.usageCount > 0) return res.status(409).json({ error: 'item_in_use' })
+
+  const items = await findCustomItemsByIds([target.id])
+  await deleteCustomItems([target.id])
+  await removeCustomItemFiles(items)
+  res.json({ ok: true })
+})
+
+router.delete('/custom-items', requireAdmin, async (req, res) => {
+  const schema = z.object({
+    q: z.string().trim().max(120).optional().default(''),
+  })
+  const parsed = schema.safeParse(req.query)
+  if (!parsed.success) return res.status(400).json({ error: 'bad_request' })
+
+  const items = await findUnusedCustomItems({ queryText: parsed.data.q })
+  const ids = items.map((item) => item.id)
+  await deleteCustomItems(ids)
+  await removeCustomItemFiles(items)
+  res.json({ ok: true, deletedCount: ids.length })
+})
+
+router.get('/users', requireAdmin, async (req, res) => {
+  const users = await listUsers()
+  res.json({ users })
+})
+
+router.patch('/users/:userId', requireAdmin, async (req, res) => {
+  const schema = z.object({
+    email: z.string().email(),
+    nickname: z.string().trim().max(40).default(''),
+    isAdmin: z.boolean(),
+  })
+  const parsed = schema.safeParse(req.body)
+  if (!parsed.success) return res.status(400).json({ error: 'bad_request' })
+
+  if (req.params.userId === req.session.userId && !parsed.data.isAdmin) {
+    return res.status(400).json({ error: 'self_admin_required' })
+  }
+
+  const user = await findUserById(req.params.userId)
+  if (!user) return res.status(404).json({ error: 'not_found' })
+
+  try {
+    const updated = await adminUpdateUser({
+      id: user.id,
+      email: parsed.data.email,
+      nickname: parsed.data.nickname,
+      isAdmin: parsed.data.isAdmin,
+    })
+    res.json({ user: updated })
+  } catch (e) {
+    if (e && e.code === 'ER_DUP_ENTRY') {
+      return res.status(409).json({ error: 'email_taken' })
+    }
+    throw e
+  }
+})
+
+router.delete('/users/:userId', requireAdmin, async (req, res) => {
+  if (req.params.userId === req.session.userId) {
+    return res.status(400).json({ error: 'cannot_delete_self' })
+  }
+
+  const user = await findUserById(req.params.userId)
+  if (!user) return res.status(404).json({ error: 'not_found' })
+
+  await adminDeleteUser(user.id)
+  res.json({ ok: true })
+})
+
+router.patch('/users/:userId/password', requireAdmin, async (req, res) => {
+  const schema = z.object({
+    password: z.string().min(6).max(120),
+  })
+  const parsed = schema.safeParse(req.body)
+  if (!parsed.success) return res.status(400).json({ error: 'bad_request' })
+
+  const user = await findUserById(req.params.userId)
+  if (!user) return res.status(404).json({ error: 'not_found' })
+
+  const passwordHash = await bcrypt.hash(parsed.data.password, 10)
+  await adminUpdateUserPassword({ id: user.id, passwordHash })
+  res.json({ ok: true })
+})
+
 module.exports = router
--- a/backend/src/routes/auth.js
+++ b/backend/src/routes/auth.js
@@ -44,7 +44,11 @@ router.post('/signup', async (req, res) => {

  req.session.userId = user.id
  req.session.isAdmin = !!user.isAdmin
-  res.json(user)
+  // 세션을 응답 전에 명시적으로 저장해 Set-Cookie가 확실히 내려오도록 보강
+  req.session.save((err) => {
+    if (err) return res.status(500).json({ error: 'session_save_failed' })
+    res.json(user)
+  })
 })

 router.post('/login', async (req, res) => {
@@ -60,13 +64,16 @@ router.post('/login', async (req, res) => {

  req.session.userId = user.id
  req.session.isAdmin = !!user.isAdmin
-  res.json({
-    id: user.id,
-    email: user.email,
-    nickname: user.nickname || '',
-    isAdmin: !!user.isAdmin,
-    avatarSrc: user.avatarSrc || '',
-    createdAt: user.createdAt,
+  req.session.save((err) => {
+    if (err) return res.status(500).json({ error: 'session_save_failed' })
+    res.json({
+      id: user.id,
+      email: user.email,
+      nickname: user.nickname || '',
+      isAdmin: !!user.isAdmin,
+      avatarSrc: user.avatarSrc || '',
+      createdAt: user.createdAt,
+    })
  })
 })

--- a/backend/src/routes/games.js
+++ b/backend/src/routes/games.js
@@ -1,7 +1,5 @@
 const express = require('express')
-const { z } = require('zod')
-const { nanoid } = require('nanoid')
-const { listGames, getGameDetail, createGameSuggestion } = require('../db')
+const { listGames, getGameDetail } = require('../db')

 const router = express.Router()

@@ -16,16 +14,4 @@ router.get('/:gameId', async (req, res) => {
  res.json({ game: detail.game, items: detail.items })
 })

-router.post('/suggest', async (req, res) => {
-  const schema = z.object({ name: z.string().min(1).max(60) })
-  const parsed = schema.safeParse(req.body)
-  if (!parsed.success) return res.status(400).json({ error: 'bad_request' })
-
-  const suggestion = await createGameSuggestion({
-    id: nanoid(),
-    name: parsed.data.name,
-  })
-  res.json({ suggestion })
-})
-
 module.exports = router
--- a/backend/src/routes/tierlists.js
+++ b/backend/src/routes/tierlists.js
@@ -7,6 +7,7 @@ const {
  findTierListById,
  listPublicTierLists,
  listUserTierLists,
+  deleteTierList,
  saveTierList,
  createCustomItem,
 } = require('../db')
@@ -51,10 +52,19 @@ const upload = multer({
  limits: { fileSize: 6 * 1024 * 1024 },
 })

+const thumbnailUpload = multer({
+  storage: multer.diskStorage({
+    destination: (req, file, cb) => cb(null, path.join(__dirname, '..', '..', 'uploads', 'tierlists')),
+    filename: (req, file, cb) => cb(null, buildUploadFilename(file)),
+  }),
+  limits: { fileSize: 6 * 1024 * 1024 },
+})
+
 const tierListUpsertSchema = z.object({
  id: z.string().optional(),
  gameId: z.string().min(1),
  title: z.string().min(1).max(120),
+  thumbnailSrc: z.string().max(255).optional().default(''),
  description: z.string().max(1000).optional().default(''),
  isPublic: z.boolean().default(false),
  groups: z.array(
@@ -94,6 +104,15 @@ router.get('/:id', async (req, res) => {
  res.json({ tierList: normalizeTierList(t) })
 })

+router.delete('/:id', requireAuth, async (req, res) => {
+  const tierList = await findTierListById(req.params.id)
+  if (!tierList) return res.status(404).json({ error: 'not_found' })
+  if (tierList.authorId !== req.session.userId) return res.status(403).json({ error: 'forbidden' })
+
+  await deleteTierList(tierList.id)
+  res.json({ ok: true })
+})
+
 router.post('/custom-items', requireAuth, upload.single('image'), async (req, res) => {
  if (!req.file) return res.status(400).json({ error: 'file_required' })

@@ -111,6 +130,11 @@ router.post('/custom-items', requireAuth, upload.single('image'), async (req, re
  res.json({ item })
 })

+router.post('/thumbnail', requireAuth, thumbnailUpload.single('thumbnail'), async (req, res) => {
+  if (!req.file) return res.status(400).json({ error: 'file_required' })
+  res.json({ thumbnailSrc: `/uploads/tierlists/${req.file.filename}` })
+})
+
 router.post('/', requireAuth, async (req, res) => {
  const parsed = tierListUpsertSchema.safeParse(req.body)
  if (!parsed.success) return res.status(400).json({ error: 'bad_request' })
@@ -127,6 +151,7 @@ router.post('/', requireAuth, async (req, res) => {
      authorId: existing.authorId,
      gameId: existing.gameId,
      title: payload.title,
+      thumbnailSrc: payload.thumbnailSrc || '',
      description: payload.description || '',
      isPublic: !!payload.isPublic,
      groups: payload.groups,
@@ -140,6 +165,7 @@ router.post('/', requireAuth, async (req, res) => {
    authorId: req.session.userId,
    gameId: payload.gameId,
    title: payload.title,
+    thumbnailSrc: payload.thumbnailSrc || '',
    description: payload.description || '',
    isPublic: !!payload.isPublic,
    groups: payload.groups,
--- a/docker-compose.prod.yml
+++ b/docker-compose.prod.yml
@@ -0,0 +1,80 @@
+services:
+  mariadb:
+    image: mariadb:11.4
+    container_name: tmaker-mariadb
+    restart: unless-stopped
+    environment:
+      MARIADB_ROOT_PASSWORD: ${MARIADB_ROOT_PASSWORD}
+      MARIADB_DATABASE: ${MARIADB_DATABASE}
+      MARIADB_USER: ${MARIADB_USER}
+      MARIADB_PASSWORD: ${MARIADB_PASSWORD}
+    command:
+      - --character-set-server=utf8mb4
+      - --collation-server=utf8mb4_unicode_ci
+    volumes:
+      - tmaker_mariadb_data:/var/lib/mysql
+    healthcheck:
+      test: ["CMD-SHELL", "mariadb-admin ping -h 127.0.0.1 -uroot -p$$MARIADB_ROOT_PASSWORD --silent"]
+      start_period: 150s
+      interval: 10s
+      timeout: 5s
+      retries: 20
+
+  backend:
+    build:
+      context: .
+      dockerfile: backend/Dockerfile
+    container_name: tmaker-backend
+    restart: unless-stopped
+    depends_on:
+      mariadb:
+        condition: service_healthy
+    environment:
+      PORT: 5179
+      DB_HOST: mariadb
+      DB_PORT: 3306
+      DB_USER: ${MARIADB_USER}
+      DB_PASSWORD: ${MARIADB_PASSWORD}
+      DB_NAME: ${MARIADB_DATABASE}
+      SESSION_SECRET: ${SESSION_SECRET}
+      SESSION_COOKIE_SECURE: "true"
+      SESSION_COOKIE_SAME_SITE: "lax"
+      CORS_ORIGINS: https://tmaker.sori.studio
+      TRUST_PROXY: 1
+    volumes:
+      - tmaker_uploads:/app/uploads
+      - tmaker_sessions:/app/.sessions
+
+  frontend:
+    build:
+      context: .
+      dockerfile: frontend/Dockerfile
+      args:
+        VITE_API_ORIGIN: https://tmaker.sori.studio
+    container_name: tmaker-frontend
+    restart: unless-stopped
+    depends_on:
+      - backend
+    ports:
+      - "18080:80"
+
+  phpmyadmin:
+    image: phpmyadmin:5.2-apache
+    container_name: tmaker-phpmyadmin
+    restart: unless-stopped
+    profiles: ["admin"]
+    depends_on:
+      mariadb:
+        condition: service_healthy
+    environment:
+      PMA_HOST: mariadb
+      PMA_PORT: 3306
+      PMA_USER: ${MARIADB_USER}
+      PMA_PASSWORD: ${MARIADB_PASSWORD}
+    ports:
+      - "18081:80"
+
+volumes:
+  tmaker_mariadb_data:
+  tmaker_uploads:
+  tmaker_sessions:
--- a/docs/history.md
+++ b/docs/history.md
@@ -1,5 +1,13 @@
 # 의사결정 이력

+## 2026-03-26 v0.1.39
+- 티어표 편집 헤더는 게임명 kicker보다 제목과 설명이 더 중요하므로, 좌측 입력 중심 구조로 재배치하고 썸네일은 우측 보조 카드로 분리하는 편이 더 자연스럽다고 판단했다.
+- 썸네일 조작 버튼은 모바일에서도 카드와 함께 유지되는 편이 흐름이 덜 끊기므로, 미리보기 아래 별도 줄로 떨어뜨리기보다 카드 내부의 짧은 액션 행으로 묶기로 결정했다.
+
+## 2026-03-26 v0.1.38
+- 관리자 기본 아이템은 업로드 시점에만 이름을 정할 수 있으면 운영 중 수정이 어려우므로, 목록에서 직접 이름을 바꾸고 저장할 수 있게 하기로 결정했다.
+- 게임별 티어표 목록도 식별성이 중요하므로, 사용자가 편집 시 별도 썸네일을 지정할 수 있게 하고 목록 카드에서는 게임 카드와 비슷한 상단 썸네일 구조를 사용하기로 결정했다.
+
 ## 2026-03-19
 - 초기 저장소는 빠른 구현을 위해 `lowdb(JSON 파일)`를 채택했다.
 - 인증은 JWT 대신 서버 세션(`express-session` + `session-file-store`)을 사용했다.
@@ -45,3 +53,95 @@
 - 관리자 업로드 작업은 "파일 선택 후 적용"이 더 정확하므로, 썸네일 버튼 문구와 활성화 조건을 그 흐름에 맞추기로 결정했다.
 - 작은 화면에서 미리보기가 실제 작업 영역을 압박하지 않도록, 아이템 미리보기는 정사각형을 유지하되 최대 크기를 제한하는 방향을 채택했다.
 - 파일 입력은 업로드 성공 후와 게임 전환 시 초기화해 같은 파일 재선택이 막히지 않도록 정리했다.
+
+## 2026-03-19 v0.1.11
+- 관리자 화면은 좌우 여백이 크게 남는 구조보다, 상단 2열 작업 카드와 하단 목록 영역으로 나누는 편이 더 안정적이라고 판단해 레이아웃을 재정리했다.
+- 게임 목록에 없는 주제로도 바로 작업할 수 있도록, 시스템 전용 `freeform` 게임을 내부적으로 유지하고 홈 화면에서는 `직접 티어표 만들기` 카드로 노출하기로 결정했다.
+- 게임 제안은 현재 운영 흐름과 맞지 않아 사용자 진입점과 프런트 API에서 제거하고, 대신 관리자에게는 사용자 커스텀 아이템 검토 기능을 제공하기로 했다.
+
+## 2026-03-19 v0.1.12
+- 앱 전체 배경은 화면 폭 전체를 사용하고, 개별 콘텐츠만 필요한 만큼 정렬하는 방향이 더 자연스럽다고 판단해 전역 최대 폭 제한을 제거했다.
+- 비로그인 사용자가 새 티어표를 편집하다 저장 단계에서 막히는 경험은 손실 위험이 크므로, 작성 시작 자체를 로그인 사용자로 제한하고 공개 티어표는 읽기 전용으로 보여주기로 결정했다.
+- 커스텀 이미지 업로드는 단일 파일 선택만으로는 불편하므로, 다중 선택과 드래그 앤 드롭을 기본 흐름으로 보강했다.
+- 관리자에게는 게임 관리뿐 아니라 회원 관리 책임도 필요하므로, 회원 목록 조회/수정/삭제 기능을 추가하기로 결정했다.
+
+## 2026-03-19 v0.1.13
+- 관리자 페이지는 기능 수가 늘어난 만큼 게임, 아이템, 회원 관리 탭으로 나누는 편이 더 안전하다고 판단했다.
+- 사용자 커스텀 아이템은 수량이 빠르게 커질 수 있으므로, 검색과 페이지네이션을 기본 제공하는 관리 화면으로 보는 방향을 채택했다.
+- 메일 기반 복구가 없으므로, 관리자가 회원 비밀번호를 직접 초기화할 수 있는 기능을 제공하기로 결정했다.
+- 티어표 구조는 게임마다 다르므로, 기본 5단은 시작 템플릿일 뿐 사용자가 행을 직접 추가/삭제할 수 있어야 한다고 결정했다.
+
+## 2026-03-19 v0.1.17
+- 작성자가 자기 티어표를 직접 삭제할 수 있어야 관리 흐름이 완결되므로, `내 티어표` 화면에 삭제 기능을 추가하기로 결정했다.
+- 사용자 커스텀 이미지는 서버 용량을 계속 차지하므로, 참조가 하나도 남지 않은 이미지(미사용 항목)를 식별하고 관리자 화면에서 개별/일괄 정리할 수 있도록 하기로 결정했다.
+
+## 2026-03-19 v0.1.19
+- 티어표 공개 여부는 운영 기준상 대부분 공개 공유가 목적이므로, 신규 작성 시 기본값을 `공개 ON`으로 두기로 결정했다.
+- 에디터에서 저장 관련 행동은 좌우로 역할을 나눠 `다운로드/삭제`와 `공개/저장`으로 묶는 편이 더 빠르게 인지된다고 판단했다.
+- 공개 목록과 내 목록에서 제목만으로는 식별이 어려우므로, 제목 옆에 작성자 아바타와 표시명을 함께 노출하기로 결정했다.
+- 티어표 카드 메타 정보는 저장 시각과 업데이트 시각을 동시에 노출하는 대신, 최종 업데이트 시각만 남겨 단순화하기로 결정했다.
+
+## 2026-03-26 v0.1.21
+- 목록 썸네일 fallback 문자는 닉네임보다 계정 기준이 더 일관되므로, 아바타 이미지가 없을 때는 계정명 첫 글자를 사용하기로 결정했다.
+- 저장 성공은 화면 이동보다 현 위치 유지가 더 중요하므로, 편집을 계속할 수 있는 확인형 모달로 피드백을 제공하기로 결정했다.
+- PNG export는 가장자리 여백이 없는 결과보다 중앙 정렬된 카드형 결과물이 더 완성도 있게 보이므로, export 전용 보드에 충분한 바깥 패딩을 포함하기로 했다.
+
+## 2026-03-26 v0.1.22
+- 무제목 저장은 게임 이름 기본값보다 `이름 없음 + 날짜`가 더 명확하다고 판단해 자동 제목 규칙을 변경했다.
+- 제목이 비어 있는 티어표는 품질 관리 대상이 될 수 있으므로, 작성 중 단계에서 관리자 임의 삭제 가능성을 미리 안내하기로 결정했다.
+- 다운로드 이미지에는 편집용 빈 칸 안내 문구를 제외하고, 더 넓은 보드 폭과 하단 작성자/날짜 메타를 포함해 공유용 완성도를 높이기로 결정했다.
+
+## 2026-03-26 v0.1.23
+- 홈 화면 정렬은 단순 생성순 하나보다 `관리자 상단 고정 순서 + 나머지 최신 생성순` 조합이 운영과 신규 노출을 함께 만족시킨다고 판단했다.
+- 상단 고정은 전체 수동 정렬보다 최대 50개만 관리하는 방식이 운영 부담이 적으므로, 관리자에게는 제한된 상단 고정 목록만 직접 편집하게 하기로 결정했다.
+- `커스텀 티어표 만들기`는 일반 게임 카드와 성격이 다르므로 카드형 목록에서 분리해 우측 상단 버튼으로 노출하기로 결정했다.
+
+## 2026-03-26 v0.1.24
+- 상단 고정 게임이 50개까지 늘어날 수 있으므로, 위/아래 버튼만으로는 불편하다고 판단해 드래그 정렬을 함께 제공하기로 결정했다.
+- export 결과가 지나치게 넓으면 아이콘이 한 줄에 과도하게 몰리므로, 공유용 이미지 폭을 줄이고 pixel ratio도 낮춰 균형을 맞추기로 결정했다.
+- 현재 업로드는 파일 크기 제한만 있고 서버 저장 전 최적화는 없으므로, 운영 문서에 현황을 명확히 남기고 향후 리사이즈/압축 도입 여부를 검토하기로 했다.
+
+## 2026-03-26 v0.1.25
+- 저장 결과물 기준 너비가 여전히 길다고 판단해, export 보드 폭을 추가로 `960px`까지 줄여 최종 PNG 밀도를 더 낮추기로 결정했다.
+
+## 2026-03-26 v0.1.26
+- 아이콘 크기는 사용자 취향 차이가 큰 요소이므로, 고정값 하나보다 기본 `80px`에 단계형 크기 선택을 제공하는 편이 더 낫다고 판단했다.
+
+## 2026-03-26 v0.1.27
+- NAS 운영은 리버스 프록시 설정을 단순하게 유지하는 편이 좋으므로, 프런트 컨테이너 하나만 외부 공개하고 `/api`, `/uploads`는 내부 프록시로 넘기는 구조를 채택했다.
+- 운영은 로컬 개발 컴포즈와 분리된 전용 `docker-compose.prod.yml`을 두고, 환경변수는 `.env.production`으로 분리해 관리하기로 결정했다.
+
+## 2026-03-26 v0.1.28
+- UGREEN NAS에서 MariaDB 초기화가 길게 걸릴 수 있으므로, healthcheck는 앱 계정보다 `root` 기준 ping과 더 긴 유예 시간으로 두는 편이 안전하다고 판단했다.
+
+## 2026-03-26 v0.1.29
+- NAS에서 HTTPS를 종료한 뒤 내부 컨테이너끼리는 HTTP로 통신하는 구조에서는, 프런트 프록시가 백엔드에 원래 프로토콜을 정확히 전달하지 않으면 `secure` 세션 쿠키가 발급되지 않는다고 판단했다.
+- 따라서 운영 프런트 Nginx는 백엔드 프록시 요청에 `X-Forwarded-Proto: https`를 명시하고, Express 세션도 프록시 환경을 명시적으로 신뢰하도록 설정하기로 결정했다.
+
+## 2026-03-26 v0.1.30
+- 운영 프런트는 다른 origin 절대 URL보다 같은 origin 상대 `/api` 요청을 우선해야 세션 쿠키 저장이 안정적이라고 판단했다.
+
+## 2026-03-26 v0.1.31
+- 세션 기반 로그인 응답은 저장소 반영 타이밍 차이를 줄이기 위해 `req.session.save()`를 명시 호출하는 쪽이 운영 안정성에 유리하다고 판단했다.
+
+## 2026-03-26 v0.1.32
+- 인증 문제를 빠르게 확인하기 위해 일시적으로 세션 저장 성공/실패 로그를 남기고 원인을 좁혀가는 접근을 선택했다.
+
+## 2026-03-26 v0.1.33
+- 프록시 환경의 실제 판단 값을 보기 위해 `req.secure`, `req.protocol`, `x-forwarded-proto`를 직접 로그로 비교해 원인을 확인하기로 했다.
+
+## 2026-03-26 v0.1.34
+- 일부 NAS 환경에서 `favicon.svg` 정적 응답이 `403`으로 차단될 수 있으므로, 운영 안정성을 위해 별도 파일 요청이 필요 없는 인라인 데이터 URL 파비콘으로 전환하기로 결정했다.
+- 관리자 기본 아이템 등록은 단일 파일 업로드만으로는 운영 부담이 크므로, 다중 선택과 드래그 앤 드롭을 지원하고 라벨은 파일명으로 자동 생성하는 방향을 채택했다.
+
+## 2026-03-26 v0.1.35
+- NAS 운영 경로는 수동 파일 복사보다 Git clone 기반이 로컬 개발 흐름과 더 잘 맞고, 실수로 누락되는 파일을 줄일 수 있으므로 기본 배포 방식으로 권장하기로 결정했다.
+- 운영 환경 변수와 Docker 볼륨은 Git 저장소 바깥의 NAS 자산으로 유지하고, 코드는 `git pull`로만 반영하는 역할 분리를 명확히 하기로 했다.
+
+## 2026-03-26 v0.1.36
+- 브라우저 탭 제목은 개발용 기본 문자열보다 서비스 이름을 직접 보여주는 편이 맞다고 판단해 `Tier Maker`로 고정했다.
+- 무제목 티어표 기본값은 날짜형 임시 제목보다 사용자가 어떤 게임으로 작성했는지 즉시 알 수 있는 게임명 기준이 더 자연스럽다고 판단했다.
+
+## 2026-03-26 v0.1.37
+- 운영 포트 충돌을 피하기 위해 프로덕션 외부 포트는 `frontend=18080`, `phpMyAdmin=18081`로 고정하고, 리버스 프록시 문서도 그 기준으로 맞추기로 했다.
+- 인증 장애 원인을 찾기 위한 디버그 로그는 문제 해결 후 제거하고, 실제 운영에는 세션 저장 보강과 프록시 헤더 설정만 유지하는 편이 낫다고 판단했다.
--- a/docs/map.md
+++ b/docs/map.md
@@ -2,18 +2,18 @@

 ## `/`
 - 화면 파일: `frontend/src/views/HomeView.vue`
- 역할: 게임 목록 표시, 게임 카드 클릭 이동, 새 게임 제안 모달
- 연동 API: `GET /api/games`, `POST /api/games/suggest`
+- 역할: 게임 목록 표시, 게임 카드 클릭 이동, `직접 티어표 만들기` 진입
+- 연동 API: `GET /api/games`

 ## `/games/:gameId`
 - 화면 파일: `frontend/src/views/GameHubView.vue`
- 역할: 선택한 게임 정보 표시, 공개 티어표 목록 표시, 작성자 닉네임 노출, 새 티어표 작성 진입
+- 역할: 선택한 게임 정보 표시, 공개 티어표 목록 표시, 티어표별 상단 썸네일/작성자 표시, 새 티어표 작성 진입
 - 연동 API: `GET /api/games/:gameId`, `GET /api/tierlists/public`

 ## `/editor/:gameId/new`, `/editor/:gameId/:tierListId`
 - 화면 파일: `frontend/src/views/TierEditorView.vue`
- 역할: 티어 그룹 편집, 관리자 아이템/커스텀 아이템 드래그 앤 드롭, 저장, 공개 여부 설정, PNG 다운로드
- 연동 API: `GET /api/games/:gameId`, `GET /api/tierlists/:id`, `POST /api/tierlists/custom-items`, `POST /api/tierlists`
+- 역할: 티어 그룹 편집, 티어 행 추가/삭제, 관리자 아이템/커스텀 아이템 다중 드래그 앤 드롭 업로드, 티어표 썸네일 선택, 작성 권한 제어, 저장, 공개 여부 설정, PNG 다운로드
+- 연동 API: `GET /api/games/:gameId`, `GET /api/tierlists/:id`, `POST /api/tierlists/thumbnail`, `POST /api/tierlists/custom-items`, `POST /api/tierlists`

 ## `/login`
 - 화면 파일: `frontend/src/views/LoginView.vue`
@@ -22,13 +22,13 @@

 ## `/me`
 - 화면 파일: `frontend/src/views/MyTierListsView.vue`
- 역할: 내 티어표 목록 조회, 편집 화면으로 이동
- 연동 API: `GET /api/tierlists/me`
+- 역할: 내 티어표 목록 조회, 상단 썸네일 카드 표시, 편집 화면으로 이동, 작성자 본인 티어표 삭제
+- 연동 API: `GET /api/tierlists/me`, `DELETE /api/tierlists/:id`

 ## `/admin`
 - 화면 파일: `frontend/src/views/AdminView.vue`
- 역할: 작업 모드 선택, 기존 게임 선택 또는 새 게임 생성, 선택된 게임의 썸네일/아이템 관리, 파일 선택 즉시 미리보기, 파일 입력 초기화, 아이템 삭제, 게임 삭제
- 연동 API: `POST /api/admin/games`, `POST /api/admin/games/:gameId/thumbnail`, `POST /api/admin/games/:gameId/images`, `DELETE /api/admin/games/:gameId/items/:itemId`, `DELETE /api/admin/games/:gameId`
+- 역할: `게임 관리 / 아이템 관리 / 회원 관리` 탭 분리, 선택된 게임의 썸네일 관리, 기본 아이템 다중 드래그 앤 드롭 업로드, 기본 아이템 이름 수정, 사용자 커스텀 아이템 검색/페이지네이션/사용 횟수 확인/미사용 이미지 개별·일괄 삭제, 회원 비밀번호 초기화 포함 회원 관리, 파일 입력 초기화, 아이템 삭제, 게임 삭제
+- 연동 API: `POST /api/admin/games`, `POST /api/admin/games/:gameId/thumbnail`, `POST /api/admin/games/:gameId/images`, `PATCH /api/admin/games/:gameId/items/:itemId`, `GET /api/admin/custom-items`, `DELETE /api/admin/custom-items/:itemId`, `DELETE /api/admin/custom-items`, `GET /api/admin/users`, `PATCH /api/admin/users/:userId`, `PATCH /api/admin/users/:userId/password`, `DELETE /api/admin/users/:userId`, `DELETE /api/admin/games/:gameId/items/:itemId`, `DELETE /api/admin/games/:gameId`

 ## `/profile`
 - 화면 파일: `frontend/src/views/ProfileView.vue`
--- a/docs/spec.md
+++ b/docs/spec.md
@@ -6,6 +6,9 @@
 - 데이터 저장소: MariaDB(MySQL 호환)
 - 세션 저장소: `session-file-store` 기반 파일 세션
 - 업로드 저장소: 로컬 파일 시스템(`backend/uploads/`)
+- 운영 배포: `frontend(Nginx 정적 서빙 + /api,/uploads 프록시) + backend + mariadb` Docker Compose 구조
+- NAS HTTPS 리버스 프록시 운영 시 프런트 Nginx는 백엔드로 `X-Forwarded-Proto: https`를 전달하고, Express 세션은 프록시 환경에서 `secure` 쿠키를 허용하도록 설정한다.
+- 프런트 파비콘은 운영 정적 파일 차단 영향을 줄이기 위해 `index.html`의 인라인 데이터 URL로 제공한다.

 ## 데이터 저장 구조
 - 메인 데이터베이스: MariaDB `tier_cursor` (기본값)
@@ -30,6 +33,7 @@
  - `name`: string
  - `thumbnailSrc`: string
  - `createdAt`: number
+  - 시스템 전용 `freeform` 레코드는 홈 화면의 `직접 티어표 만들기` 저장 대상이며 일반 게임 목록에서는 숨긴다.
 - `gameItems`
  - `id`: string
  - `gameId`: string
@@ -47,6 +51,7 @@
  - `authorId`: string
  - `gameId`: string
  - `title`: string
+  - `thumbnailSrc`: string
  - `description`: string
  - `isPublic`: boolean
  - `groups`: `{ id, name, itemIds[] }[]`
@@ -69,25 +74,63 @@
 - 게임
  - `GET /api/games`
  - `GET /api/games/:gameId`
-  - `POST /api/games/suggest`
 - 티어표
  - `GET /api/tierlists/public`
  - `GET /api/tierlists/me`
  - `GET /api/tierlists/:id`
+  - `DELETE /api/tierlists/:id`
+  - `POST /api/tierlists/thumbnail`
  - `POST /api/tierlists/custom-items`
  - `POST /api/tierlists`
 - 관리자
  - `POST /api/admin/games`
  - `POST /api/admin/games/:gameId/thumbnail`
  - `POST /api/admin/games/:gameId/images`
+    - 여러 이미지를 한 번에 업로드할 수 있고, 별도 라벨이 없으면 파일명 기준으로 기본 아이템 이름을 만든다.
+  - `PATCH /api/admin/games/:gameId/items/:itemId`
+  - `GET /api/admin/custom-items`
+  - `DELETE /api/admin/custom-items/:itemId`
+  - `DELETE /api/admin/custom-items`
+  - `GET /api/admin/users`
+  - `PATCH /api/admin/users/:userId`
+  - `PATCH /api/admin/users/:userId/password`
+  - `DELETE /api/admin/users/:userId`
  - `DELETE /api/admin/games/:gameId/items/:itemId`
  - `DELETE /api/admin/games/:gameId`

 ## 관리자 화면 메모
 - 썸네일은 16:9 비율 미리보기 후 `썸네일 적용` 버튼으로 실제 반영한다.
- 아이템 추가는 이름 입력, 파일 선택, 1:1 미리보기 확인 뒤 저장하는 흐름이다.
+- 게임 기본 아이템 추가는 드래그 앤 드롭 또는 다중 파일 선택으로 처리하고, 미리보기 카드에서 여러 장을 함께 확인할 수 있다.
+- 현재 기본 아이템 목록에서는 등록된 아이템 이름을 직접 수정하고 저장할 수 있다.
 - 아이템 미리보기는 반응형 환경에서도 최대 `192px` 크기 안에서 표시한다.
 - 게임 전환 또는 업로드 성공 뒤에는 파일 입력값을 초기화해 같은 파일도 다시 선택할 수 있다.
+- 게임 관리 탭에서는 홈 화면 상단에 먼저 노출할 게임을 최대 50개까지 지정하고, 드래그 또는 위/아래 버튼으로 순서를 저장할 수 있다.
+- 사용자 업로드 커스텀 아이템은 관리자 화면의 아이템 관리 탭에서 검색, 페이지네이션, 다운로드할 수 있다.
+- 커스텀 아이템은 사용 횟수(`usageCount`)를 표시하며, 미사용 항목만 필터링해 개별/일괄 삭제할 수 있다.
+- 관리자 화면에서는 회원 이메일/닉네임/권한 수정, 비밀번호 초기화, 계정 삭제가 가능하다.
+
+## 티어표 접근 메모
+- `new` 작성 경로는 로그인한 사용자만 진입할 수 있다.
+- 비로그인 사용자는 공개된 티어표를 열람만 할 수 있고, 편집 UI와 저장 동작은 비활성화된다.
+- 커스텀 이미지 추가는 다중 파일 선택과 드래그 앤 드롭을 모두 지원한다.
+- 티어 행은 기본 5단으로 시작하지만, 사용자가 직접 추가하거나 제거할 수 있다.
+- 신규 티어표의 공개 여부 기본값은 `ON`이며, 기존 티어표는 편집 화면과 `내 티어표` 목록에서 직접 삭제할 수 있다.
+- 제목이 비어 있는 상태로 저장하면 내부 제목은 현재 게임명을 기본값으로 사용한다.
+- 제목 입력이 비어 있는 동안에는 무분별한 도배 방지를 위한 관리자 임의 삭제 가능성 안내 문구를 표시한다.
+- 티어표는 편집 화면에서 16:9 썸네일 이미지를 별도로 선택해 저장할 수 있고, 목록 카드에서는 그 이미지를 상단 대표 썸네일로 사용한다.
+- 편집 화면 상단 헤더는 좌측 제목/설명, 우측 썸네일 카드 구조를 사용하며 모바일에서는 한 열로 접힌다.
+- 티어표 편집기의 아이콘 기본 크기는 `80px`이며, 사용자가 `48 / 60 / 80 / 100 / 120` 단계로 즉시 조절할 수 있다.
+- 공개 티어표 목록과 `내 티어표` 목록은 제목 옆에 작성자 아바타와 표시명을 함께 보여준다.
+- 작성자 아바타 이미지가 없을 경우 목록 썸네일 fallback은 닉네임이 아니라 계정명 기준 첫 글자를 사용한다.
+- 티어표 목록 메타 정보는 최종 업데이트 시각만 간략하게 표시한다.
+- 저장 성공 시에는 에디터 안에서 반투명 오버레이 기반 확인 모달을 띄우고, PNG export 이미지는 약 `960px` 보드 폭과 `pixelRatio 1.5`, 외곽 여백, 작성자/날짜 하단 메타를 포함해 생성한다.
+- 홈 게임 목록은 관리자 상단 고정 순서가 있으면 그 순서를 먼저 적용하고, 그 외 게임은 최근 생성순으로 뒤에 이어진다.
+- `커스텀 티어표 만들기`는 카드가 아니라 홈 우측 상단 버튼으로 진입한다.
+
+## 업로드 제한 메모
+- 프로필 아바타 업로드는 파일당 최대 `3MB`다.
+- 관리자 게임 썸네일/기본 아이템 업로드와 사용자 커스텀 이미지 업로드는 파일당 최대 `6MB`다.
+- 현재는 업로드 전에 이미지 리사이즈/압축을 하지 않고 원본 파일을 그대로 저장한다.

 ## 운영 환경 변수
 - 프런트엔드
@@ -105,6 +148,12 @@
  - `SESSION_COOKIE_SECURE`: `true`면 HTTPS 전용 쿠키
  - `SESSION_COOKIE_SAME_SITE`: 기본 `lax`

+## 운영 배포 메모
+- 프로덕션 컴포즈 파일은 [docker-compose.prod.yml](/Users/bicute/Desktop/zenn.dev/tier-cursor/docker-compose.prod.yml)이다.
+- 외부 도메인 `tmaker.sori.studio`는 `frontend` 컨테이너의 `18080` 포트로 리버스 프록시하고, `/api`, `/uploads`, `/health`는 프런트 Nginx가 내부 `backend:5179`로 전달한다.
+- 운영 볼륨은 MariaDB 데이터, 업로드 파일, 세션 파일을 각각 분리해 유지한다.
+- MariaDB healthcheck는 NAS 첫 기동 지연을 고려해 `root` 기준 ping과 긴 `start_period/retries`를 사용한다.
+
 ## NAS 배포 메모
 - 현재 구조는 MariaDB/MySQL 계열이므로 NAS에 MariaDB를 올리면 phpMyAdmin 또는 Adminer로 직접 데이터 확인이 가능하다.
 - 추천 구성:
--- a/docs/todo.md
+++ b/docs/todo.md
@@ -1,7 +1,12 @@
 # 할 일 및 이슈

 ## 즉시 확인 필요
- 관리자 화면에 게임 제안(`gameSuggestions`) 조회/처리 UI가 아직 없다.
+- 사용자 커스텀 아이템을 관리자 기본 템플릿으로 승격하는 승인/복제 흐름은 아직 없다.
+- 회원 관리에서 아바타/작성 티어표 수/최근 활동 같은 보조 정보는 아직 표시하지 않는다.
+- 미사용 커스텀 이미지 일괄 삭제는 현재 "참조가 없는 항목" 기준이며, 보관 기간 정책 같은 운영 규칙은 아직 없다.
+- 업로드 이미지는 현재 원본 파일을 그대로 저장하므로, 운영 부담이 커지면 서버 저장 전 리사이즈/압축(예: 긴 변 제한, WebP 변환) 도입이 필요하다.
+- 관리자 기본 아이템 다중 업로드는 현재 파일명 기반 자동 라벨만 지원하므로, 필요하면 업로드 후 일괄 라벨 수정/정렬 UX를 추가 검토한다.
+- 티어표 썸네일은 현재 업로드/교체만 지원하므로, 필요하면 자동 썸네일 추출이나 업로드 이미지 크롭 UX를 추가 검토한다.

 ## 배포 전 작업
 - NAS 실제 도메인 기준으로 `VITE_API_ORIGIN`, `CORS_ORIGINS`, `SESSION_SECRET`, `SESSION_COOKIE_SECURE`, `TRUST_PROXY` 값을 설정한다.
@@ -13,4 +18,6 @@
 ## 중기 개선
 - 게임/이미지/티어표 삭제 후 복구 또는 수정 이력 관리 기능을 추가한다.
 - 자동 테스트와 최소한의 배포 체크리스트를 만든다.
- 관리자용 게임 제안 승인/반려, 아이템 정렬 UI를 추가한다.
+- 관리자용 커스텀 아이템 승인/복제, 아이템 정렬 UI를 추가한다.
+- 회원 검색/필터, 일괄 권한 변경 같은 관리 보조 기능을 추가한다.
+- 티어 행 프리셋 저장, 색상 관리, 행 복제 같은 고급 편집 기능을 추가한다.
--- a/docs/ugreen-nas-deploy.md
+++ b/docs/ugreen-nas-deploy.md
@@ -0,0 +1,160 @@
+# UGREEN NAS 배포 가이드
+
+## 개요
+- 운영 기본 컨테이너는 `mariadb`, `backend`, `frontend` 3개다.
+- `phpmyadmin`은 필요할 때만 `admin` 프로필로 추가 실행한다.
+- 외부 공개는 `frontend` 컨테이너 하나만 하고, `/api`, `/uploads`, `/health`는 내부적으로 `backend`로 프록시한다.
+- 도메인은 `https://tmaker.sori.studio` 기준으로 설정한다.
+
+## 파일
+- 프로덕션 컴포즈: [docker-compose.prod.yml](/Users/bicute/Desktop/zenn.dev/tier-cursor/docker-compose.prod.yml)
+- 백엔드 이미지: [backend/Dockerfile](/Users/bicute/Desktop/zenn.dev/tier-cursor/backend/Dockerfile)
+- 프런트 이미지: [frontend/Dockerfile](/Users/bicute/Desktop/zenn.dev/tier-cursor/frontend/Dockerfile)
+- 프런트 Nginx 프록시: [frontend/nginx.conf](/Users/bicute/Desktop/zenn.dev/tier-cursor/frontend/nginx.conf)
+- 환경변수 예시: [.env.production.example](/Users/bicute/Desktop/zenn.dev/tier-cursor/.env.production.example)
+
+## 1. 프로젝트 업로드
+- NAS 작업 폴더에 현재 프로젝트를 그대로 업로드한다.
+- 기존 로컬 MariaDB 내용은 무시하고 새 운영 DB로 시작해도 된다.
+
+## 1-1. 권장 방식: Git clone 기반 운영
+- 수동 복사는 처음 1회에는 가능하지만, 이후부터는 로컬과 NAS가 쉽게 어긋난다.
+- 권장 방식은 NAS 작업 폴더를 Git 저장소로 두고, 로컬에서 작업 후 `push`, NAS에서는 `pull`만 하는 구조다.
+- 추천 흐름:
+  - 로컬: 개발 → 테스트 → 커밋 → `git push`
+  - NAS: `git pull` → `docker compose up -d --build`
+
+처음부터 Git으로 시작하려면 NAS에서:
+
+```bash
+cd /volume1/docker/projects/apps
+git clone https://git.sori.studio/zenn/tier-maker.git
+cd tier-maker
+cp .env.production.example .env.production
+```
+
+- 이미 같은 경로에 수동 복사본이 있다면, 가장 깔끔한 방법은 기존 폴더를 다른 이름으로 잠시 옮기고 새로 `clone`하는 것이다.
+- `.env.production`은 Git에 올리지 않고 NAS에만 유지한다.
+
+예시:
+
+```bash
+cd /volume1/docker/projects/apps
+mv tier-maker tier-maker-manual-backup
+git clone https://git.sori.studio/zenn/tier-maker.git
+cd tier-maker
+cp .env.production.example .env.production
+```
+
+- 이후 기존 수동 복사본의 `.env.production` 값을 새 clone 폴더의 `.env.production`에 그대로 옮기면 된다.
+
+## 2. 환경변수 파일 준비
+- 루트에서 `.env.production.example`를 복사해 `.env.production`으로 만든다.
+- 최소 변경값:
+  - `MARIADB_ROOT_PASSWORD`
+  - `MARIADB_PASSWORD`
+  - `SESSION_SECRET`
+
+예시:
+
+```env
+MARIADB_ROOT_PASSWORD=very-strong-root-password
+MARIADB_DATABASE=tier_cursor
+MARIADB_USER=tier_cursor
+MARIADB_PASSWORD=very-strong-app-password
+SESSION_SECRET=very-strong-random-session-secret
+```
+
+## 3. 컨테이너 실행
+
+```bash
+docker compose --env-file .env.production -f docker-compose.prod.yml up -d --build
+```
+
+- phpMyAdmin까지 같이 띄우려면:
+
+```bash
+docker compose --env-file .env.production -f docker-compose.prod.yml --profile admin up -d --build
+```
+
+- MariaDB 첫 초기화는 NAS 환경에서 2분 이상 걸릴 수 있다.
+- 현재 프로덕션 컴포즈는 이를 고려해 `start_period: 150s`, `retries: 20` healthcheck를 사용한다.
+- 로그상 DB가 정상 기동했는데도 `unhealthy`가 뜬 적이 있다면 최신 `docker-compose.prod.yml`로 다시 올리는 것이 좋다.
+
+## 3-1. 이후 업데이트 방식
+- Git clone 기반으로 전환한 뒤에는 파일을 하나씩 NAS에 덮어쓰지 않는다.
+- 로컬에서 커밋과 푸시가 끝난 뒤, NAS에서는 아래 두 줄이 기본 배포 절차다.
+
+```bash
+git pull origin main
+docker compose --env-file .env.production -f docker-compose.prod.yml up -d --build
+```
+
+- Dockerfile, Nginx 설정, 프런트 소스, 백엔드 소스가 바뀐 경우에는 `--build`를 유지한다.
+- 단순 재시작만 필요할 때도 있지만, 운영에서는 실수 방지를 위해 `up -d --build`를 기본값으로 두는 편이 안전하다.
+
+## 3-2. 이번 v0.1.34까지 적용하는 예시
+- 이미 NAS 폴더가 Git clone 상태라면:
+
+```bash
+cd /volume1/docker/projects/apps/tier-maker
+git pull origin main
+sudo docker compose --env-file .env.production -f docker-compose.prod.yml up -d --build
+```
+
+- 아직 수동 복사 폴더만 있다면:
+
+```bash
+cd /volume1/docker/projects/apps
+mv tier-maker tier-maker-manual-backup
+git clone https://git.sori.studio/zenn/tier-maker.git
+cd tier-maker
+cp .env.production.example .env.production
+# 여기서 기존 .env.production 값을 새 파일에 옮긴다.
+docker compose --env-file .env.production -f docker-compose.prod.yml up -d --build
+```
+
+## 4. NAS 리버스 프록시
+- 외부 도메인: `tmaker.sori.studio`
+- 내부 대상 프로토콜: `http`
+- 내부 대상 호스트: NAS IP 또는 `localhost`
+- 내부 대상 포트: `18080`
+
+즉 NAS 리버스 프록시는 `frontend` 컨테이너의 `18080`만 바라보면 된다.
+
+## 5. HTTPS / 쿠키
+- 현재 프로덕션 컴포즈는 `SESSION_COOKIE_SECURE=true`를 사용한다.
+- 따라서 `tmaker.sori.studio`에는 HTTPS 인증서가 연결되어 있어야 한다.
+- NAS 리버스 프록시가 HTTPS 종료를 하고 내부는 `http://frontend:80` 또는 `localhost:18080`으로 전달하면 된다.
+- 최신 프런트 Nginx 설정은 백엔드로 `X-Forwarded-Proto: https`를 넘기므로, 로그인 직후 세션이 바로 풀리는 경우에는 프런트 이미지를 다시 빌드해 최신 설정이 반영됐는지 먼저 확인한다.
+
+## 6. 데이터 위치
+- MariaDB 데이터: Docker volume `tmaker_mariadb_data`
+- 업로드 파일: Docker volume `tmaker_uploads`
+- 세션 파일: Docker volume `tmaker_sessions`
+
+## 7. 점검 포인트
+- 메인 접속: `https://tmaker.sori.studio`
+- 헬스체크: `https://tmaker.sori.studio/health`
+- 로그인 후 새로고침 또는 `내 티어표` 진입 시 세션이 유지되는지 확인
+- 관리자 로그인 후:
+  - 게임 생성
+  - 썸네일 업로드
+  - 티어표 저장
+  - 이미지 다운로드
+
+## 8. MariaDB가 unhealthy일 때
+- 로그에 `ready for connections`가 보이면 DB 자체는 정상일 가능성이 높다.
+- 이 경우는 대부분 healthcheck 시간이 짧아서 생기는 문제다.
+- 최신 컴포즈 파일 반영 후 아래 순서로 다시 시작한다:
+
+```bash
+docker compose --env-file .env.production -f docker-compose.prod.yml down -v
+docker compose --env-file .env.production -f docker-compose.prod.yml up -d --build
+```
+
+## 9. 참고
+- 현재 업로드 이미지는 서버 저장 전에 리사이즈/압축하지 않는다.
+- 운영 중 원본 이미지가 많이 쌓이면 이후 `sharp` 기반 최적화 단계를 추가하는 것이 좋다.
+- 프런트/백엔드/Nginx 설정을 바꿨다면 NAS에서 `docker compose --env-file .env.production -f docker-compose.prod.yml up -d --build`로 이미지를 다시 빌드해 반영한다.
+- 운영 중 `.env.production`, 업로드 파일 볼륨, MariaDB 볼륨은 Git과 별개로 NAS 로컬 자산이므로 백업 정책을 따로 잡아야 한다.
--- a/docs/update.md
+++ b/docs/update.md
@@ -1,5 +1,97 @@
 # 업데이트 로그

+## 2026-03-26 v0.1.39
+- **에디터 헤더 재구성**: 티어표 편집 상단에서 게임명 kicker를 제거하고, 좌측 제목/설명 입력과 우측 썸네일 카드가 나란히 보이는 구조로 재정리
+- **썸네일 영역 UX 개선**: 썸네일 미리보기와 선택/제거 버튼을 하나의 카드 안에 묶고, 모바일에서도 버튼이 카드 아래로 무너지지 않도록 밀도 있게 조정
+
+## 2026-03-26 v0.1.38
+- **관리자 기본 아이템 이름 수정 추가**: 게임 관리 화면의 현재 기본 아이템 목록에서 이름을 직접 수정하고 저장할 수 있도록 API와 UI를 보강
+- **티어표 썸네일 추가**: 티어표 편집 화면에서 별도 썸네일 이미지를 선택해 저장할 수 있도록 업로드 흐름을 추가하고, 게임별 공개 티어표/내 티어표 목록은 게임 카드처럼 상단 썸네일 + 하단 제목/작성자 정보 카드 구조로 변경
+
+## 2026-03-26 v0.1.37
+- **운영 포트 설정 반영**: 프로덕션 컴포즈의 `frontend/phpMyAdmin` 외부 포트를 `18080/18081` 기준으로 유지하고, NAS 배포 문서와 기술 명세의 리버스 프록시 포트 안내도 동일하게 정리
+- **인증 라우트 정리**: NAS 로그인 문제를 확인하기 위해 넣었던 `auth` 디버그 로그를 제거하고, 실제 운영에 필요한 세션 저장 보강만 유지
+- **이력 문서 정렬**: `docs/history.md`를 날짜/버전 흐름에 맞게 다시 정리해 추적성을 높임
+
+## 2026-03-26 v0.1.36
+- **브라우저 탭 이름 변경**: 프런트 문서 제목을 `frontend`에서 `Tier Maker`로 변경
+- **무제목 티어표 기본값 조정**: 사용자가 제목을 입력하지 않으면 `이름 없음 + 날짜` 대신 현재 게임명을 기본 제목으로 사용하도록 변경하고, 관리자 임의 삭제 안내 문구는 유지
+
+## 2026-03-26 v0.1.35
+- **NAS Git 배포 절차 추가**: UGREEN NAS에서 수동 복사 대신 `git clone`과 `git pull` 기반으로 운영 배포를 관리하는 절차를 배포 가이드에 정리
+- **v0.1.34 반영 명령 정리**: 이미 수동 복사본이 있는 경우 새 clone으로 전환한 뒤 최신 이미지를 다시 빌드하는 순서를 문서화
+
+## 2026-03-26 v0.1.34
+- **파비콘 정적 요청 제거**: 운영 환경에서 `/favicon.svg`가 `403`으로 막히는 경우를 피하기 위해, 별도 파일 대신 `index.html` 인라인 데이터 URL 파비콘으로 전환
+- **관리자 기본 아이템 다중 업로드 추가**: 게임 관리 화면에서 기본 아이템을 여러 장 드래그 앤 드롭 또는 다중 파일 선택으로 한 번에 추가할 수 있도록 변경하고, 기본 라벨은 파일명 기준으로 자동 생성
+
+## 2026-03-26 v0.1.33
+- **[NAS] 요청 프로토콜 디버그**: `auth/login`/`auth/me`에서 `req.secure`, `req.protocol`, `x-forwarded-proto` 값을 로그로 출력해 프록시/HTTPS 판단 문제를 확인
+
+## 2026-03-26 v0.1.32
+- **[NAS] 인증 디버그 로그 추가**: `auth/login`에서 `req.session.save` 성공/실패와 `auth/me`에서 세션 존재 여부를 콘솔 로그로 남겨 세션 쿠키 발급 문제를 빠르게 진단
+
+## 2026-03-26 v0.1.31
+- **[NAS] 세션 쿠키 발급 강제**: 백엔드 인증 라우트에서 `req.session.save()`를 명시 호출해 응답 전에 세션을 저장하고 `Set-Cookie`가 확실히 내려오도록 보강
+
+## 2026-03-26 v0.1.30
+- **[NAS] /api 상대경로 호출**: 운영(`import.meta.env.PROD`)에서는 `http://localhost:...` 같은 다른 origin으로 API를 호출하지 않도록, `frontend/src/lib/runtime.js`에서 `/api` 호출을 상대경로로 고정해 세션 쿠키가 정상 저장되도록 수정
+
+## 2026-03-26 v0.1.29
+- **NAS 로그인 유지 수정**: 프런트 Nginx가 백엔드에 전달하는 `X-Forwarded-Proto`를 `https`로 고정하고 Express 세션의 프록시 인지를 명시해, NAS HTTPS 리버스 프록시 뒤에서도 `secure` 세션 쿠키가 정상 발급되도록 조정
+- **운영 템플릿 복구**: 실수로 빠질 수 있는 `.env.production.example`를 다시 포함하고, NAS 재배포 시 최신 프런트 이미지를 다시 빌드하도록 문서 보강
+
+## 2026-03-26 v0.1.28
+- **MariaDB healthcheck 완화**: UGREEN NAS 첫 초기화 시간이 길어도 `unhealthy`로 오판하지 않도록 프로덕션 컴포즈의 DB healthcheck를 `root` 기준과 더 긴 `start_period/retries`로 조정
+- **NAS 장애 대응 문서화**: `ready for connections` 이후에도 `unhealthy`가 뜨는 경우의 재기동 절차를 배포 가이드에 추가
+
+## 2026-03-26 v0.1.27
+- **UGREEN NAS 배포 파일 추가**: `backend`, `frontend`용 Dockerfile과 프런트 Nginx 프록시 설정, 프로덕션 전용 `docker-compose.prod.yml` 추가
+- **운영 환경 예시 추가**: `.env.production.example`로 MariaDB/세션 시크릿 환경변수 템플릿 제공
+- **배포 문서화**: `tmaker.sori.studio` 기준 NAS 리버스 프록시, 컨테이너 실행, 볼륨 구성 가이드를 문서에 정리
+
+## 2026-03-26 v0.1.26
+- **아이콘 크기 조절 추가**: 티어표 편집기에서 `48 / 60 / 80 / 100 / 120` 단계로 아이콘 크기를 직접 바꿀 수 있도록 추가
+- **기본 아이콘 크기 상향**: 기본 `.thumb` 크기를 `80px` 기준으로 조정하고, 보드와 우측 아이템 목록에 함께 반영되도록 정리
+
+## 2026-03-26 v0.1.25
+- **export 폭 추가 축소**: 티어표 PNG export 보드 폭을 `960px`로 더 줄여 최종 저장 이미지가 지나치게 길어지지 않도록 조정
+
+## 2026-03-26 v0.1.24
+- **관리자 게임 순서 드래그 정렬 추가**: 상단 고정 게임 목록을 위/아래 버튼뿐 아니라 드래그로도 순서를 바꿀 수 있도록 보강
+- **export 크기 재조정**: 티어표 PNG export를 약 `1360px` 폭과 `pixelRatio 1.5` 기준으로 낮춰 아이콘이 과도하게 한 줄에 몰리지 않도록 수정
+- **업로드 정책 문서화**: 현재 아바타 `3MB`, 게임/커스텀 이미지 `6MB` 제한이 있으며 서버 저장 전 리사이즈/압축은 아직 하지 않는다는 점을 문서에 명시
+
+## 2026-03-26 v0.1.23
+- **홈 게임 정렬 규칙 변경**: 일반 게임 목록은 `상단 고정 순서 → 나머지 최신 생성순`으로 정렬되도록 변경
+- **관리자 게임 순서 편집 추가**: 관리자 게임 관리 탭에서 최대 50개의 게임을 상단 고정 목록으로 선택하고 위/아래 순서를 저장할 수 있도록 추가
+- **커스텀 티어표 진입점 변경**: 홈 화면의 `직접 티어표 만들기` 카드를 제거하고 우측 상단 버튼형 진입점으로 변경
+
+## 2026-03-26 v0.1.22
+- **무제목 저장 규칙 변경**: 제목을 비워두고 저장하면 내부 저장 제목을 `이름 없음 + 날짜` 형식으로 생성하도록 변경
+- **무제목 안내 문구 추가**: 제목 입력이 비어 있는 동안 관리자 임의 삭제 가능성을 알리는 경고 문구를 제목 입력 아래에 표시
+- **export 보드 확장**: 다운로드용 티어표 이미지는 빈 칸 안내 문구를 숨기고, 약 `1600px` 폭과 더 넉넉한 여백, 하단 작성자/날짜 메타 정보를 포함하도록 조정
+
+## 2026-03-26 v0.1.21
+- **아바타 fallback 기준 통일**: 티어표 목록에서 작성자 아바타 이미지가 없을 때 닉네임이 아니라 계정명 기준 첫 글자를 표시하도록 정리
+- **저장 완료 모달 추가**: 에디터에서 저장 성공 시 반투명 오버레이와 확인 버튼이 있는 피드백 모달을 표시하도록 추가
+- **다운로드 이미지 여백 보강**: PNG export 전용 보드에 외곽 패딩과 배경 여백을 넣어 콘텐츠가 가장자리에 붙어 보이지 않도록 조정
+
+## 2026-03-19 v0.1.20
+- **게임 선택 카드 순서 조정**: 홈 화면에서 일반 게임 카드를 먼저 보여주고 `직접 티어표 만들기` 카드는 마지막에 배치
+- **게임 카드 3열 레이아웃**: PC 기준 게임 선택 화면 카드를 3열로 재구성하고, 썸네일을 16:9 비율로 통일
+- **공개 티어표 카드 3열 레이아웃**: 게임 허브의 공개 티어표 목록도 PC 기준 3열 카드형으로 재배치하고 태블릿/모바일에서는 자동 줄바꿈되도록 조정
+
+## 2026-03-19 v0.1.19
+- **에디터 저장 영역 재정렬**: 공개 기본값을 `ON`으로 바꾸고, 액션 영역을 `이미지 다운로드 / 삭제 / 공개 ON·OFF / 저장` 흐름으로 재배치
+- **에디터 삭제 진입점 추가**: 기존 티어표는 편집 화면에서 바로 삭제할 수 있도록 버튼을 추가
+- **목록 작성자 표시 개선**: 공개 티어표와 내 티어표 목록의 제목 옆에 원형 아바타와 `by 닉네임(없으면 계정명)`을 표시
+- **목록 메타 단순화**: 티어표 카드 하단 정보는 게임 ID, 저장 시각, 라벨 문구를 제거하고 최종 업데이트 시각만 간략하게 노출
+
+## 2026-03-19 v0.1.18
+- **미사용 아이콘 필터 수정**: 관리자 아이템 관리의 `미사용 아이콘 보기` 체크 상태가 실제 API 요청의 `orphanOnly` 파라미터로 전달되도록 수정
+- **삭제 활성화 흐름 정상화**: 미사용 아이콘만 조회했을 때 `usageCount = 0` 항목의 개별 삭제 버튼이 의도대로 활성화되도록 정리
+
 ## 2026-03-19 v0.1.0
 - **초기 스캐폴딩**: `frontend/`에 Vue3(Vite, JavaScript) 프로젝트 생성
 - **라우팅/화면 골격**: 게임 선택(`/`), 게임 허브(`/games/:gameId`), 에디터(`/editor/:gameId/...`), 로그인(`/login`), 내 티어표(`/me`), 관리자(`/admin`) 라우트 추가
@@ -73,3 +165,37 @@
 - **아이템 추가 폼 정리**: 아이템 이름 입력 너비를 줄이고, 과한 미리보기 안내 문구를 제거해 작업 집중도를 높임
 - **반응형 미리보기 보정**: 태블릿 이하 화면에서도 아이템 1:1 미리보기가 최대 `192px` 범위 안에서 보이도록 조정
 - **파일 재선택 버그 수정**: 아이템 추가나 게임 전환 뒤 파일 입력 값을 초기화해 같은 이미지를 다시 선택해도 정상 인식되도록 수정
+
+## 2026-03-19 v0.1.11
+- **관리자 레이아웃 재구성**: 인라인 스타일을 제거하고, 썸네일 적용과 아이템 추가를 상단 2열 카드로 재배치한 뒤 아이템 목록은 하단 리스트로 분리
+- **직접 티어표 만들기 추가**: 홈 화면에 게임 카드와 동일한 형태의 `직접 티어표 만들기` 진입점을 추가하고, 내부 전용 `freeform` 게임 레코드로 1회성 빈 티어표 저장 흐름을 지원
+- **게임 제안 흐름 제거**: 홈 화면의 `새로운 게임 제안` 버튼/모달과 관련 프런트 API를 제거해 현재 운영 흐름에 맞게 단순화
+- **커스텀 아이템 검토 영역 추가**: 관리자 페이지에서 사용자 업로드 커스텀 아이템을 목록으로 보고 다운로드할 수 있는 검토 영역과 조회 API를 추가
+
+## 2026-03-19 v0.1.12
+- **전역 레이아웃 폭 정리**: 앱 메인 영역의 고정 최대 너비를 제거해 배경과 페이지 폭이 잘린 듯 보이지 않도록 조정
+- **작성 권한 제한**: 비로그인 사용자는 새 티어표 작성 화면으로 직접 진입할 수 없도록 하고, 공개된 티어표는 읽기 전용으로만 보이게 조정
+- **커스텀 이미지 업로드 개선**: 에디터의 커스텀 이미지 추가 영역에 다중 파일 선택과 드래그 앤 드롭 업로드를 추가
+- **회원 관리 추가**: 관리자 페이지에서 가입 회원 목록 조회, 이메일/닉네임/권한 수정, 계정 삭제가 가능한 관리 영역과 API를 추가
+
+## 2026-03-19 v0.1.13
+- **관리자 탭 구조 정리**: 관리자 페이지를 `게임 관리 / 아이템 관리 / 회원 관리` 탭으로 분리하고 기능별 작업 영역을 명확히 분리
+- **커스텀 아이템 조회 강화**: 사용자 커스텀 아이템 목록에 파일명 검색, `50/200` 단위 페이지네이션, 다운로드 흐름 추가
+- **회원 비밀번호 초기화 추가**: 관리자 페이지와 API에서 회원 비밀번호를 직접 재설정할 수 있도록 기능 추가
+- **가변 티어 행 지원**: 티어표 에디터에서 `S~D` 고정 5단이 아니라 티어 행을 직접 추가/삭제할 수 있도록 보강
+
+## 2026-03-19 v0.1.14
+- **커스텀 아이템 카드 반응형 수정**: 관리자 아이템 관리 탭의 커스텀 아이템 카드에서 이미지 폭을 유동값으로 조정하고, 텍스트 영역에 `min-width: 0`과 강제 줄바꿈 기준을 추가해 카드 바깥 overflow를 방지
+
+## 2026-03-19 v0.1.15
+- **셀렉트 화살표 여백 정리**: 전역 `select` 스타일에 커스텀 화살표 위치와 오른쪽 여백을 추가해 텍스트와 화살표가 지나치게 붙지 않도록 조정
+- **티어표 다운로드 결과 개선**: `TierEditorView`의 이미지 저장을 Blob 다운로드 방식으로 바꾸고, 캡처 대상을 보드 영역만 포함하는 전용 export 뷰로 분리해 우측 아이템 영역과 편집용 버튼/입력 UI가 저장 이미지에 섞이지 않도록 수정
+
+## 2026-03-19 v0.1.16
+- **티어표 헤더 마감 정리**: 제목/설명 입력을 각각 한 줄 폭으로 정리하고, 액션 영역과 분리해 헤더 가독성을 개선
+- **export 정보 보강**: 이미지 저장 시 제목 아래에 설명이 함께 표시되도록 보강
+- **보드 여백/정렬 정리**: 보드 내부 패딩을 늘리고, 티어 그룹 제목을 중앙 정렬로 조정해 완성본 느낌을 개선
+
+## 2026-03-19 v0.1.17
+- **내 티어표 삭제 추가**: `내 티어표` 목록에서 작성자가 자신의 티어표를 직접 삭제할 수 있도록 삭제 버튼과 API를 추가
+- **미사용 커스텀 이미지 관리 추가**: 관리자 아이템 탭에서 커스텀 이미지의 사용 횟수를 표시하고, 미사용 항목만 따로 필터링해 개별/일괄 삭제할 수 있도록 보강
--- a/frontend/Dockerfile
+++ b/frontend/Dockerfile
@@ -0,0 +1,22 @@
+FROM node:20-alpine AS build
+
+WORKDIR /app
+
+COPY frontend/package*.json ./
+RUN npm ci
+
+COPY frontend/ ./
+
+ARG VITE_API_ORIGIN=https://tmaker.sori.studio
+ENV VITE_API_ORIGIN=${VITE_API_ORIGIN}
+
+RUN npm run build
+
+FROM nginx:1.27-alpine
+
+COPY frontend/nginx.conf /etc/nginx/conf.d/default.conf
+COPY --from=build /app/dist /usr/share/nginx/html
+
+EXPOSE 80
+
+CMD ["nginx", "-g", "daemon off;"]
--- a/frontend/index.html
+++ b/frontend/index.html
@@ -2,9 +2,12 @@
 <html lang="en">
  <head>
    <meta charset="UTF-8" />
-    <link rel="icon" type="image/svg+xml" href="/favicon.svg" />
+    <link
+      rel="icon"
+      href="data:image/svg+xml,%3Csvg xmlns='http://www.w3.org/2000/svg' viewBox='0 0 64 64'%3E%3Crect width='64' height='64' rx='16' fill='%230b1220'/%3E%3Cpath d='M18 18h28v8H36v20h-8V26H18z' fill='%23f8fafc'/%3E%3C/svg%3E"
+    />
    <meta name="viewport" content="width=device-width, initial-scale=1.0" />
-    <title>frontend</title>
+    <title>Tier Maker</title>
  </head>
  <body>
    <div id="app"></div>
--- a/frontend/nginx.conf
+++ b/frontend/nginx.conf
@@ -0,0 +1,38 @@
+server {
+  listen 80;
+  server_name _;
+
+  root /usr/share/nginx/html;
+  index index.html;
+
+  location / {
+    try_files $uri $uri/ /index.html;
+  }
+
+  location /api/ {
+    proxy_pass http://backend:5179/api/;
+    proxy_http_version 1.1;
+    proxy_set_header Host $host;
+    proxy_set_header X-Real-IP $remote_addr;
+    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
+    proxy_set_header X-Forwarded-Proto https;
+  }
+
+  location /uploads/ {
+    proxy_pass http://backend:5179/uploads/;
+    proxy_http_version 1.1;
+    proxy_set_header Host $host;
+    proxy_set_header X-Real-IP $remote_addr;
+    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
+    proxy_set_header X-Forwarded-Proto https;
+  }
+
+  location /health {
+    proxy_pass http://backend:5179/health;
+    proxy_http_version 1.1;
+    proxy_set_header Host $host;
+    proxy_set_header X-Real-IP $remote_addr;
+    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
+    proxy_set_header X-Forwarded-Proto https;
+  }
+}
--- a/frontend/src/App.vue
+++ b/frontend/src/App.vue
@@ -58,7 +58,7 @@ async function logout() {
    <header class="app-header">
      <div class="brand" @click="$router.push('/')">
        <span class="brand__title">Tier Maker</span>
-        <span class="brand__sub">Vue</span>
+        <span class="brand__sub">by zenn</span>
      </div>
      <nav class="nav">
        <RouterLink to="/" class="nav__link">게임</RouterLink>
@@ -143,8 +143,8 @@ async function logout() {
 }
 .app-main {
  padding: 20px 18px 60px;
-  max-width: 1100px;
-  margin: 0 auto;
+  width: 100%;
+  box-sizing: border-box;
 }

 .user {
--- a/frontend/src/lib/api.js
+++ b/frontend/src/lib/api.js
@@ -32,11 +32,44 @@ export const api = {

  listGames: () => request('/api/games'),
  getGame: (gameId) => request(`/api/games/${encodeURIComponent(gameId)}`),
-  suggestGame: (name) => request('/api/games/suggest', { method: 'POST', body: { name } }),
+  updateAdminGameDisplayOrder: (payload) => request('/api/admin/games/display-order', { method: 'PATCH', body: payload }),
+  updateAdminGameItem: (gameId, itemId, payload) =>
+    request(`/api/admin/games/${encodeURIComponent(gameId)}/items/${encodeURIComponent(itemId)}`, { method: 'PATCH', body: payload }),
+  listAdminCustomItems: ({ q = '', page = 1, limit = 50, orphanOnly = false } = {}) =>
+    request(
+      `/api/admin/custom-items?q=${encodeURIComponent(q)}&page=${encodeURIComponent(page)}&limit=${encodeURIComponent(limit)}&orphanOnly=${encodeURIComponent(orphanOnly)}`
+    ),
+  listAdminUsers: () => request('/api/admin/users'),
+  updateAdminUser: (userId, payload) =>
+    request(`/api/admin/users/${encodeURIComponent(userId)}`, { method: 'PATCH', body: payload }),
+  updateAdminUserPassword: (userId, payload) =>
+    request(`/api/admin/users/${encodeURIComponent(userId)}/password`, { method: 'PATCH', body: payload }),
+  deleteAdminUser: (userId) => request(`/api/admin/users/${encodeURIComponent(userId)}`, { method: 'DELETE' }),

  listPublicTierLists: (gameId) =>
    request(`/api/tierlists/public?gameId=${encodeURIComponent(gameId || '')}`),
  listMyTierLists: () => request('/api/tierlists/me'),
  getTierList: (id) => request(`/api/tierlists/${encodeURIComponent(id)}`),
+  deleteTierList: (id) => request(`/api/tierlists/${encodeURIComponent(id)}`, { method: 'DELETE' }),
  saveTierList: (payload) => request('/api/tierlists', { method: 'POST', body: payload }),
+  uploadTierListThumbnail: async (file) => {
+    const fd = new FormData()
+    fd.append('thumbnail', file)
+    const res = await fetch(toApiUrl('/api/tierlists/thumbnail'), {
+      method: 'POST',
+      credentials: 'include',
+      body: fd,
+    })
+    const data = await res.json()
+    if (!res.ok) {
+      const err = new Error('request_failed')
+      err.status = res.status
+      err.data = data
+      throw err
+    }
+    return data
+  },
+  deleteAdminCustomItem: (itemId) => request(`/api/admin/custom-items/${encodeURIComponent(itemId)}`, { method: 'DELETE' }),
+  deleteAdminUnusedCustomItems: ({ q = '' } = {}) =>
+    request(`/api/admin/custom-items?q=${encodeURIComponent(q)}`, { method: 'DELETE' }),
 }
--- a/frontend/src/lib/runtime.js
+++ b/frontend/src/lib/runtime.js
@@ -3,7 +3,12 @@ const FALLBACK_API_ORIGIN = 'http://localhost:5179'
 export const API_ORIGIN = (import.meta.env.VITE_API_ORIGIN || FALLBACK_API_ORIGIN).replace(/\/+$/, '')

 export function toApiUrl(path = '') {
-  if (!path) return API_ORIGIN
+  const p = path.startsWith('/') ? path : `/${path}`
+
+  // 운영(Nginx 프록시)에서는 같은 도메인/프로토콜로 호출해야
+  // 세션 쿠키(`Set-Cookie`)가 브라우저에 정상 저장됩니다.
+  if (import.meta.env.PROD) return p
+
  if (/^https?:\/\//.test(path)) return path
-  return `${API_ORIGIN}${path.startsWith('/') ? path : `/${path}`}`
+  return `${API_ORIGIN}${p}`
 }
--- a/frontend/src/style.css
+++ b/frontend/src/style.css
@@ -54,6 +54,21 @@ body {
  margin: 0;
 }

+select {
+  appearance: none;
+  -webkit-appearance: none;
+  -moz-appearance: none;
+  background-image:
+    linear-gradient(45deg, transparent 50%, rgba(255, 255, 255, 0.78) 50%),
+    linear-gradient(135deg, rgba(255, 255, 255, 0.78) 50%, transparent 50%);
+  background-position:
+    calc(100% - 18px) calc(50% - 2px),
+    calc(100% - 12px) calc(50% - 2px);
+  background-size: 6px 6px, 6px 6px;
+  background-repeat: no-repeat;
+  padding-right: 36px;
+}
+
 h1,
 h2 {
  font-family: var(--heading);
@@ -157,7 +172,7 @@ code {
 }

 #app {
-  width: 1126px;
+  /* width: 1126px; */
  max-width: 100%;
  margin: 0 auto;
  text-align: center;
--- a/frontend/src/views/AdminView.vue
+++ b/frontend/src/views/AdminView.vue
--- a/frontend/src/views/GameHubView.vue
+++ b/frontend/src/views/GameHubView.vue
@@ -2,9 +2,12 @@
 import { computed, onMounted, ref } from 'vue'
 import { useRoute, useRouter } from 'vue-router'
 import { api } from '../lib/api'
+import { toApiUrl } from '../lib/runtime'
+import { useAuthStore } from '../stores/auth'

 const route = useRoute()
 const router = useRouter()
+const auth = useAuthStore()

 const gameId = computed(() => route.params.gameId)

@@ -19,10 +22,25 @@ function fmt(ts) {
    day: '2-digit',
    hour: '2-digit',
    minute: '2-digit',
-    second: '2-digit',
  })
 }

+function displayNameOf(tierList) {
+  return tierList.authorName || '알 수 없음'
+}
+
+function avatarSrcOf(tierList) {
+  return tierList.authorAvatarSrc ? toApiUrl(tierList.authorAvatarSrc) : ''
+}
+
+function avatarFallbackOf(tierList) {
+  return (tierList.authorAccountName || 'u').trim().charAt(0).toUpperCase() || '?'
+}
+
+function tierListThumbnailUrl(tierList) {
+  return tierList.thumbnailSrc ? toApiUrl(tierList.thumbnailSrc) : ''
+}
+
 onMounted(async () => {
  try {
    const [gameRes, listRes] = await Promise.all([api.getGame(gameId.value), api.listPublicTierLists(gameId.value)])
@@ -34,6 +52,10 @@ onMounted(async () => {
 })

 function createNew() {
+  if (!auth.user) {
+    router.push(`/login?redirect=/editor/${gameId.value}/new`)
+    return
+  }
  router.push(`/editor/${gameId.value}/new`)
 }

@@ -50,7 +72,7 @@ function openTierList(id) {
      <p class="desc">새 티어표를 만들거나, 다른 사람들이 올린 티어표를 확인하세요.</p>
    </div>
    <div class="head__right">
-      <button class="primary" @click="createNew">새로운 티어표 만들기</button>
+      <button class="primary" @click="createNew">{{ auth.user ? '새로운 티어표 만들기' : '로그인 후 새 티어표 만들기' }}</button>
    </div>
  </section>

@@ -60,10 +82,19 @@ function openTierList(id) {
    <div v-if="tierLists.length === 0" class="empty">아직 공개 티어표가 없어요.</div>
    <div v-else class="list">
      <button v-for="t in tierLists" :key="t.id" class="row" @click="openTierList(t.id)">
-        <div class="row__title">{{ t.title }}</div>
-        <div class="row__meta">
-          작성자: {{ t.authorName || '알 수 없음' }} · 저장: {{ fmt(t.createdAt || t.updatedAt) }} · 업데이트: {{ fmt(t.updatedAt) }}
+        <div class="row__thumbWrap">
+          <img v-if="tierListThumbnailUrl(t)" class="row__thumb" :src="tierListThumbnailUrl(t)" :alt="t.title" />
+          <div v-else class="row__thumbPlaceholder"></div>
        </div>
+        <div class="row__head">
+          <div class="row__title">{{ t.title }}</div>
+          <div class="row__author">
+            <img v-if="avatarSrcOf(t)" class="row__avatar" :src="avatarSrcOf(t)" :alt="displayNameOf(t)" />
+            <div v-else class="row__avatar row__avatar--fallback">{{ avatarFallbackOf(t) }}</div>
+            <span>by {{ displayNameOf(t) }}</span>
+          </div>
+        </div>
+        <div class="row__meta">{{ fmt(t.updatedAt) }}</div>
      </button>
    </div>
  </section>
@@ -125,26 +156,92 @@ function openTierList(id) {
 }
 .list {
  display: grid;
-  gap: 10px;
+  grid-template-columns: repeat(3, minmax(0, 1fr));
+  gap: 14px;
 }
 .row {
  text-align: left;
-  padding: 12px;
-  border-radius: 14px;
+  padding: 0;
+  border-radius: 16px;
  border: 1px solid rgba(255, 255, 255, 0.12);
-  background: rgba(255, 255, 255, 0.03);
+  background: rgba(255, 255, 255, 0.04);
  color: rgba(255, 255, 255, 0.92);
  cursor: pointer;
+  width: 100%;
+  display: grid;
+  gap: 10px;
+  align-content: start;
+  min-height: 168px;
+  overflow: hidden;
 }
 .row:hover {
  background: rgba(255, 255, 255, 0.05);
 }
+.row__thumbWrap {
+  width: 100%;
+  aspect-ratio: 16 / 9;
+  background: rgba(255, 255, 255, 0.03);
+}
+.row__thumb {
+  width: 100%;
+  height: 100%;
+  object-fit: cover;
+  display: block;
+}
+.row__thumbPlaceholder {
+  width: 100%;
+  height: 100%;
+  background:
+    linear-gradient(135deg, rgba(255,255,255,0.06), rgba(255,255,255,0.02));
+}
 .row__title {
  font-weight: 800;
+  min-width: 0;
+  font-size: 18px;
+  line-height: 1.35;
+}
+.row__head {
+  padding: 14px 14px 0;
+  display: grid;
+  gap: 12px;
+  align-content: start;
+}
+.row__author {
+  display: inline-flex;
+  gap: 8px;
+  align-items: center;
+  font-size: 13px;
+  opacity: 0.86;
+  flex: 0 0 auto;
+}
+.row__avatar {
+  width: 28px;
+  height: 28px;
+  border-radius: 999px;
+  object-fit: cover;
+  border: 1px solid rgba(255, 255, 255, 0.12);
+  background: rgba(255, 255, 255, 0.08);
+}
+.row__avatar--fallback {
+  display: grid;
+  place-items: center;
+  font-size: 12px;
+  font-weight: 900;
 }
 .row__meta {
+  padding: 0 14px 14px;
  opacity: 0.78;
-  margin-top: 6px;
  font-size: 13px;
+  margin-top: auto;
+}
+@media (max-width: 1100px) {
+  .list {
+    grid-template-columns: repeat(2, minmax(0, 1fr));
+  }
+}
+@media (max-width: 720px) {
+  .list {
+    grid-template-columns: 1fr;
+  }
 }
 </style>
--- a/frontend/src/views/HomeView.vue
+++ b/frontend/src/views/HomeView.vue
@@ -3,15 +3,14 @@ import { computed, onMounted, ref } from 'vue'
 import { useRouter } from 'vue-router'
 import { api } from '../lib/api'
 import { toApiUrl } from '../lib/runtime'
+import { useAuthStore } from '../stores/auth'

 const router = useRouter()
+const auth = useAuthStore()

 const items = ref([])
 const error = ref('')
-const games = computed(() => items.value)
-const suggestOpen = ref(false)
-const suggestName = ref('')
-const suggestError = ref('')
+const games = computed(() => items.value.filter((item) => item.id !== 'freeform'))

 onMounted(async () => {
  try {
@@ -26,37 +25,28 @@ function goGame(gameId) {
  router.push(`/games/${gameId}`)
 }

+function goFreeform() {
+  if (!auth.user) {
+    router.push('/login?redirect=/editor/freeform/new')
+    return
+  }
+  router.push('/editor/freeform/new')
+}
+
 function thumbUrl(g) {
  if (!g.thumbnailSrc) return ''
  return toApiUrl(g.thumbnailSrc)
 }

-async function submitSuggest() {
-  suggestError.value = ''
-  const name = (suggestName.value || '').trim()
-  if (!name) {
-    suggestError.value = '게임 이름을 입력해주세요.'
-    return
-  }
-  try {
-    await api.suggestGame(name)
-    suggestName.value = ''
-    suggestOpen.value = false
-  } catch (e) {
-    suggestError.value = '제안 전송에 실패했어요.'
-  }
-}
 </script>

 <template>
-  <section class="hero">
-    <h1 class="hero__title">티어표 메이커</h1>
-    <p class="hero__desc">
-      게임을 선택하면 새 티어표를 만들거나, 다른 사람들이 올린 티어표를 볼 수 있어요.
-    </p>
-    <div class="hero__actions">
-      <button class="smallBtn" @click="suggestOpen = true">새로운 게임 제안</button>
+  <section class="topBar">
+    <div class="topBar__copy">
+      <h1 class="topBar__title">게임 선택</h1>
+      <p class="topBar__desc">관리자 고정 순서가 있으면 먼저 보여주고, 그 외 게임은 최근 생성순으로 정렬됩니다.</p>
    </div>
+    <button class="customTierBtn" @click="goFreeform">{{ auth.user ? '커스텀 티어표 만들기' : '로그인 후 커스텀 티어표 만들기' }}</button>
  </section>

  <div v-if="error" class="error">{{ error }}</div>
@@ -69,59 +59,43 @@ async function submitSuggest() {
      <div class="card__title">{{ g.name }}</div>
    </button>
  </section>
-
-  <div v-if="suggestOpen" class="modalBack" @click.self="suggestOpen = false">
-    <div class="modal">
-      <div class="modal__title">새로운 게임 제안</div>
-      <div class="modal__desc">목록에 없는 게임을 입력해 주세요. (관리자가 확인 후 추가)</div>
-      <input v-model="suggestName" class="modal__input" placeholder="게임 이름" @keydown.enter.prevent="submitSuggest" />
-      <div v-if="suggestError" class="modal__error">{{ suggestError }}</div>
-      <div class="modal__actions">
-        <button class="smallBtn" @click="suggestOpen = false">닫기</button>
-        <button class="smallBtn smallBtn--primary" @click="submitSuggest">제안하기</button>
-      </div>
-    </div>
-  </div>
 </template>

 <style scoped>
-.hero {
-  padding: 18px 2px 14px;
+.topBar {
+  display: flex;
+  gap: 16px;
+  justify-content: space-between;
+  align-items: flex-start;
+  flex-wrap: wrap;
+  margin-top: 4px;
 }
-.hero__title {
-  font-size: 34px;
-  letter-spacing: -0.03em;
-  margin: 0 0 8px;
+.topBar__copy {
+  display: grid;
+  gap: 6px;
 }
-.hero__desc {
+.topBar__title {
  margin: 0;
-  opacity: 0.86;
+  font-size: 30px;
+  letter-spacing: -0.03em;
+}
+.topBar__desc {
+  margin: 0;
+  opacity: 0.78;
  line-height: 1.5;
 }
-.hero__actions {
-  margin-top: 12px;
-}
-.smallBtn {
-  padding: 8px 10px;
-  border-radius: 12px;
-  border: 1px solid rgba(255, 255, 255, 0.14);
-  background: rgba(255, 255, 255, 0.06);
-  color: rgba(255, 255, 255, 0.92);
+.customTierBtn {
+  padding: 12px 16px;
+  border-radius: 14px;
+  border: 1px solid rgba(96, 165, 250, 0.28);
+  background: linear-gradient(135deg, rgba(96, 165, 250, 0.2), rgba(16, 185, 129, 0.16));
+  color: rgba(255, 255, 255, 0.96);
+  font-weight: 900;
  cursor: pointer;
-  font-weight: 800;
-}
-.smallBtn:hover {
-  background: rgba(255, 255, 255, 0.08);
-}
-.smallBtn--primary {
-  background: rgba(96, 165, 250, 0.18);
-}
-.smallBtn--primary:hover {
-  background: rgba(96, 165, 250, 0.24);
 }
 .grid {
  display: grid;
-  grid-template-columns: repeat(2, minmax(0, 1fr));
+  grid-template-columns: repeat(3, minmax(0, 1fr));
  gap: 14px;
  margin-top: 14px;
 }
@@ -150,7 +124,7 @@ async function submitSuggest() {
 }
 .thumbWrap {
  width: 100%;
-  height: 140px;
+  aspect-ratio: 16 / 9;
  border-radius: 14px;
  border: 1px solid rgba(255, 255, 255, 0.12);
  background: rgba(0, 0, 0, 0.18);
@@ -172,58 +146,20 @@ async function submitSuggest() {
  font-weight: 800;
  letter-spacing: -0.02em;
 }
-.modalBack {
-  position: fixed;
-  inset: 0;
-  background: rgba(0, 0, 0, 0.55);
-  display: grid;
-  place-items: center;
-  z-index: 50;
-}
-.modal {
-  width: min(520px, 92vw);
-  border-radius: 16px;
-  border: 1px solid rgba(255, 255, 255, 0.14);
-  background: rgba(11, 18, 32, 0.92);
-  backdrop-filter: blur(10px);
-  padding: 14px;
-}
-.modal__title {
-  font-weight: 900;
-  font-size: 18px;
-}
-.modal__desc {
-  margin-top: 6px;
-  opacity: 0.78;
-  font-size: 13px;
-}
-.modal__input {
-  margin-top: 12px;
-  width: 100%;
-  padding: 10px 12px;
-  border-radius: 12px;
-  border: 1px solid rgba(255, 255, 255, 0.12);
-  background: rgba(0, 0, 0, 0.18);
-  color: rgba(255, 255, 255, 0.92);
-  outline: none;
-  box-sizing: border-box;
-}
-.modal__error {
-  margin-top: 10px;
-  padding: 10px 12px;
-  border-radius: 12px;
-  border: 1px solid rgba(239, 68, 68, 0.3);
-  background: rgba(239, 68, 68, 0.12);
-}
-.modal__actions {
-  margin-top: 12px;
-  display: flex;
-  justify-content: flex-end;
-  gap: 8px;
-}
@media (max-width: 720px) {
+  .topBar {
+    align-items: stretch;
+  }
+  .customTierBtn {
+    width: 100%;
+  }
  .grid {
    grid-template-columns: 1fr;
  }
 }
+@media (min-width: 721px) and (max-width: 1100px) {
+  .grid {
+    grid-template-columns: repeat(2, minmax(0, 1fr));
+  }
+}
 </style>
--- a/frontend/src/views/LoginView.vue
+++ b/frontend/src/views/LoginView.vue
@@ -1,10 +1,11 @@
 <script setup>
 import { onMounted, ref } from 'vue'
-import { useRouter } from 'vue-router'
+import { useRoute, useRouter } from 'vue-router'
 import { useAuthStore } from '../stores/auth'
 import { api } from '../lib/api'

 const router = useRouter()
+const route = useRoute()
 const auth = useAuthStore()

 const email = ref('')
@@ -27,7 +28,7 @@ async function submit() {
  try {
    if (mode.value === 'signup') await auth.signup(email.value, password.value)
    else await auth.login(email.value, password.value)
-    router.push('/me')
+    router.push(typeof route.query.redirect === 'string' ? route.query.redirect : '/me')
  } catch (e) {
    error.value = '로그인/회원가입에 실패했어요.'
  }
@@ -146,4 +147,3 @@ async function submit() {
  font-size: 13px;
 }
 </style>
-
--- a/frontend/src/views/MyTierListsView.vue
+++ b/frontend/src/views/MyTierListsView.vue
@@ -2,6 +2,7 @@
 import { onMounted, ref } from 'vue'
 import { useRouter } from 'vue-router'
 import { api } from '../lib/api'
+import { toApiUrl } from '../lib/runtime'

 const router = useRouter()
 const myLists = ref([])
@@ -14,10 +15,25 @@ function fmt(ts) {
    day: '2-digit',
    hour: '2-digit',
    minute: '2-digit',
-    second: '2-digit',
  })
 }

+function displayNameOf(tierList) {
+  return tierList.authorName || '알 수 없음'
+}
+
+function avatarSrcOf(tierList) {
+  return tierList.authorAvatarSrc ? toApiUrl(tierList.authorAvatarSrc) : ''
+}
+
+function avatarFallbackOf(tierList) {
+  return (tierList.authorAccountName || 'u').trim().charAt(0).toUpperCase() || '?'
+}
+
+function tierListThumbnailUrl(tierList) {
+  return tierList.thumbnailSrc ? toApiUrl(tierList.thumbnailSrc) : ''
+}
+
 onMounted(async () => {
  try {
    const data = await api.listMyTierLists()
@@ -30,6 +46,18 @@ onMounted(async () => {
 function openList(t) {
  router.push(`/editor/${t.gameId}/${t.id}`)
 }
+
+async function removeList(t) {
+  error.value = ''
+  try {
+    const ok = window.confirm(`"${t.title}" 티어표를 삭제할까요?`)
+    if (!ok) return
+    await api.deleteTierList(t.id)
+    myLists.value = myLists.value.filter((entry) => entry.id !== t.id)
+  } catch (e) {
+    error.value = '티어표 삭제에 실패했어요.'
+  }
+}
 </script>

 <template>
@@ -42,12 +70,24 @@ function openList(t) {
      </div>
      <div v-if="myLists.length === 0" class="empty">아직 저장한 티어표가 없어요.</div>
      <div v-else class="list">
-        <button v-for="t in myLists" :key="t.id" class="row" @click="openList(t)">
-          <div class="row__title">{{ t.title }}</div>
-          <div class="row__meta">
-            {{ t.gameId }} · 저장: {{ fmt(t.createdAt || t.updatedAt) }} · 업데이트: {{ fmt(t.updatedAt) }}
-          </div>
-        </button>
+        <article v-for="t in myLists" :key="t.id" class="row">
+          <button class="row__body" @click="openList(t)">
+            <div class="row__thumbWrap">
+              <img v-if="tierListThumbnailUrl(t)" class="row__thumb" :src="tierListThumbnailUrl(t)" :alt="t.title" />
+              <div v-else class="row__thumbPlaceholder"></div>
+            </div>
+            <div class="row__head">
+              <div class="row__title">{{ t.title }}</div>
+              <div class="row__author">
+                <img v-if="avatarSrcOf(t)" class="row__avatar" :src="avatarSrcOf(t)" :alt="displayNameOf(t)" />
+                <div v-else class="row__avatar row__avatar--fallback">{{ avatarFallbackOf(t) }}</div>
+                <span>by {{ displayNameOf(t) }}</span>
+              </div>
+            </div>
+            <div class="row__meta">{{ fmt(t.updatedAt) }}</div>
+          </button>
+          <button class="link link--danger" @click="removeList(t)">삭제</button>
+        </article>
      </div>
    </div>
  </section>
@@ -93,24 +133,99 @@ function openList(t) {
 }
 .list {
  display: grid;
-  gap: 10px;
+  grid-template-columns: repeat(3, minmax(0, 1fr));
+  gap: 14px;
 }
 .row {
-  text-align: left;
-  cursor: pointer;
-  padding: 12px;
+  display: grid;
+  gap: 10px;
  border-radius: 14px;
  border: 1px solid rgba(255, 255, 255, 0.10);
  background: rgba(0, 0, 0, 0.16);
  color: rgba(255, 255, 255, 0.92);
+  overflow: hidden;
+}
+.row__body {
+  flex: 1 1 auto;
+  min-width: 0;
+  text-align: left;
+  cursor: pointer;
+  border: 0;
+  background: transparent;
+  color: inherit;
+  padding: 0;
+  display: grid;
+  gap: 10px;
+}
+.row__thumbWrap {
+  width: 100%;
+  aspect-ratio: 16 / 9;
+  background: rgba(255, 255, 255, 0.03);
+}
+.row__thumb {
+  width: 100%;
+  height: 100%;
+  object-fit: cover;
+  display: block;
+}
+.row__thumbPlaceholder {
+  width: 100%;
+  height: 100%;
+  background:
+    linear-gradient(135deg, rgba(255,255,255,0.06), rgba(255,255,255,0.02));
 }
 .row__title {
  font-weight: 900;
+  min-width: 0;
+}
+.row__head {
+  padding: 0 14px;
+  display: flex;
+  gap: 12px;
+  align-items: center;
+  justify-content: space-between;
+  flex-wrap: wrap;
+}
+.row__author {
+  display: inline-flex;
+  gap: 8px;
+  align-items: center;
+  font-size: 13px;
+  opacity: 0.84;
+}
+.row__avatar {
+  width: 28px;
+  height: 28px;
+  border-radius: 999px;
+  object-fit: cover;
+  border: 1px solid rgba(255, 255, 255, 0.12);
+  background: rgba(255, 255, 255, 0.08);
+}
+.row__avatar--fallback {
+  display: grid;
+  place-items: center;
+  font-size: 12px;
+  font-weight: 900;
 }
 .row__meta {
+  padding: 0 14px;
  margin-top: 6px;
  opacity: 0.76;
  font-size: 13px;
 }
+.link--danger {
+  background: rgba(239, 68, 68, 0.14);
+  border-color: rgba(239, 68, 68, 0.28);
+  margin: 0 14px 14px;
+}
+@media (max-width: 1100px) {
+  .list {
+    grid-template-columns: repeat(2, minmax(0, 1fr));
+  }
+}
+@media (max-width: 720px) {
+  .list {
+    grid-template-columns: 1fr;
+  }
+}
 </style>
-
--- a/frontend/src/views/TierEditorView.vue
+++ b/frontend/src/views/TierEditorView.vue
@@ -1,12 +1,15 @@
 <script setup>
-import { computed, nextTick, onMounted, ref } from 'vue'
-import { useRoute } from 'vue-router'
+import { computed, nextTick, onMounted, onUnmounted, ref } from 'vue'
+import { useRoute, useRouter } from 'vue-router'
 import Sortable from 'sortablejs'
 import * as htmlToImage from 'html-to-image'
 import { api } from '../lib/api'
 import { toApiUrl } from '../lib/runtime'
+import { useAuthStore } from '../stores/auth'

 const route = useRoute()
+const router = useRouter()
+const auth = useAuthStore()
 const gameId = computed(() => route.params.gameId)
 const tierListId = computed(() => route.params.tierListId)
 const gameName = ref('')
@@ -23,19 +26,88 @@ const pool = ref([])
 const itemsById = ref({})

 const title = ref('')
+const thumbnailSrc = ref('')
+const pendingThumbnailFile = ref(null)
+const thumbnailPreviewUrl = ref('')
 const description = ref('')
-const isPublic = ref(false)
+const isPublic = ref(true)
 const error = ref('')
 const isSaving = ref(false)
+const isExporting = ref(false)
+const isSaveModalOpen = ref(false)
+const ownerId = ref('')
+const authorName = ref('')
+const authorAccountName = ref('')
+const updatedAt = ref(0)
+const isDragActive = ref(false)
+const iconSize = ref(80)

 const boardEl = ref(null)
+const exportBoardEl = ref(null)
 const groupListEl = ref(null)
 const poolEl = ref(null)
 const groupDropEls = ref({})
 const fileEl = ref(null)
+const thumbnailFileEl = ref(null)
+const groupSortable = ref(null)
+const poolSortable = ref(null)
+const dropSortables = ref([])
+
+const isNewTierList = computed(() => tierListId.value === 'new')
+const canEdit = computed(() => !!auth.user && (!ownerId.value || ownerId.value === auth.user.id))
+const iconSizeOptions = [48, 64, 80, 96, 112]
+const hasCustomTitle = computed(() => !!(title.value || '').trim())
+const fallbackTimestamp = computed(() => (updatedAt.value ? updatedAt.value : Date.now()))
+const effectiveAuthorName = computed(() => {
+  const currentNickname = (auth.user?.nickname || '').trim()
+  if (currentNickname) return currentNickname
+  if ((authorName.value || '').trim()) return authorName.value.trim()
+  const currentEmail = (auth.user?.email || '').trim()
+  if (currentEmail) return currentEmail.split('@')[0] || currentEmail
+  return (authorAccountName.value || '').trim() || 'unknown'
+})
+const effectiveTitle = computed(() => {
+  const customTitle = (title.value || '').trim()
+  if (customTitle) return customTitle
+  return (gameName.value || gameId.value || 'Tier Maker').trim()
+})
+const displayThumbnailUrl = computed(() => thumbnailPreviewUrl.value || (thumbnailSrc.value ? resolveItemSrc({ src: thumbnailSrc.value }) : ''))
+const untitledWarning = computed(
+  () =>
+    canEdit.value &&
+    !hasCustomTitle.value &&
+    '제목 없이 저장된 티어표는 무분별한 도배 방지를 위해 관리자에 의해 임의 삭제될 수 있어요.'
+)
+
+function formatTitleDate(ts) {
+  const date = new Date(ts)
+  const year = date.getFullYear()
+  const month = String(date.getMonth() + 1).padStart(2, '0')
+  const day = String(date.getDate()).padStart(2, '0')
+  const hours = String(date.getHours()).padStart(2, '0')
+  const minutes = String(date.getMinutes()).padStart(2, '0')
+  return `${year}-${month}-${day} ${hours}:${minutes}`
+}
+
+function formatExportDate(ts) {
+  return new Date(ts).toLocaleString('ko-KR', {
+    year: 'numeric',
+    month: '2-digit',
+    day: '2-digit',
+    hour: '2-digit',
+    minute: '2-digit',
+  })
+}
+
+function setIconSize(nextSize) {
+  iconSize.value = nextSize
+}

 function setGroupDropEl(groupId, el) {
-  if (!el) return
+  if (!el) {
+    delete groupDropEls.value[groupId]
+    return
+  }
  groupDropEls.value[groupId] = el
 }

@@ -67,7 +139,9 @@ function resolveItemSrc(item) {
 async function initSortables() {
  if (!poolEl.value || !groupListEl.value) return

-  Sortable.create(groupListEl.value, {
+  destroySortables()
+
+  groupSortable.value = Sortable.create(groupListEl.value, {
    animation: 160,
    handle: '[data-group-handle]',
    ghostClass: 'ghost',
@@ -80,7 +154,7 @@ async function initSortables() {
    },
  })

-  Sortable.create(poolEl.value, {
+  poolSortable.value = Sortable.create(poolEl.value, {
    group: 'tier-items',
    animation: 160,
    draggable: '[data-item-id]',
@@ -90,7 +164,7 @@ async function initSortables() {
    onAdd: () => normalizeSort(poolEl.value),
  })

-  Object.entries(groupDropEls.value).forEach(([gid, el]) => {
+  dropSortables.value = Object.entries(groupDropEls.value).map(([gid, el]) =>
    Sortable.create(el, {
      group: 'tier-items',
      animation: 160,
@@ -100,10 +174,60 @@ async function initSortables() {
      onSort: () => normalizeSort(el),
      onAdd: () => normalizeSort(el),
    })
-  })
+  )
+}
+
+function destroySortables() {
+  if (groupSortable.value) {
+    groupSortable.value.destroy()
+    groupSortable.value = null
+  }
+  if (poolSortable.value) {
+    poolSortable.value.destroy()
+    poolSortable.value = null
+  }
+  dropSortables.value.forEach((instance) => instance.destroy())
+  dropSortables.value = []
+}
+
+async function syncSortables() {
+  await nextTick()
+  if (canEdit.value) {
+    await initSortables()
+  }
+}
+
+function createGroupName() {
+  const alphabet = 'ABCDEFGHIJKLMNOPQRSTUVWXYZ'
+  const index = groups.value.length
+  if (index < alphabet.length) return alphabet[index]
+  return `Tier ${index + 1}`
+}
+
+async function addGroup() {
+  groups.value = [
+    ...groups.value,
+    {
+      id: `g-${Date.now()}-${Math.random().toString(16).slice(2, 8)}`,
+      name: createGroupName(),
+      itemIds: [],
+    },
+  ]
+  await syncSortables()
+}
+
+async function removeGroup(groupId) {
+  if (groups.value.length <= 1) return
+  const target = groups.value.find((group) => group.id === groupId)
+  if (!target) return
+  pool.value = [...target.itemIds, ...pool.value]
+  groups.value = groups.value.filter((group) => group.id !== groupId)
+  delete groupDropEls.value[groupId]
+  await syncSortables()
 }

 function addCustomImage(file) {
+  if (!file || !file.type.startsWith('image/')) return
  const url = URL.createObjectURL(file)
  const id = `c-${Date.now()}-${Math.random().toString(16).slice(2)}`
  itemsById.value = {
@@ -114,23 +238,81 @@ function addCustomImage(file) {
 }

 function openFile() {
+  if (!canEdit.value) return
  fileEl.value?.click()
 }

+function openThumbnailFile() {
+  if (!canEdit.value) return
+  thumbnailFileEl.value?.click()
+}
+
+function onThumbnailChange(event) {
+  const file = event.target.files?.[0]
+  if (thumbnailPreviewUrl.value) {
+    URL.revokeObjectURL(thumbnailPreviewUrl.value)
+    thumbnailPreviewUrl.value = ''
+  }
+  pendingThumbnailFile.value = file || null
+  if (file) thumbnailPreviewUrl.value = URL.createObjectURL(file)
+  event.target.value = ''
+}
+
+function clearThumbnail() {
+  if (thumbnailPreviewUrl.value) {
+    URL.revokeObjectURL(thumbnailPreviewUrl.value)
+    thumbnailPreviewUrl.value = ''
+  }
+  pendingThumbnailFile.value = null
+  thumbnailSrc.value = ''
+}
+
 function onFileChange(e) {
-  const file = e.target.files && e.target.files[0]
-  if (!file) return
-  addCustomImage(file)
+  const files = Array.from(e.target.files || [])
+  if (!files.length) return
+  files.forEach(addCustomImage)
  e.target.value = ''
 }

+function onDragEnter() {
+  if (!canEdit.value) return
+  isDragActive.value = true
+}
+
+function onDragLeave(event) {
+  if (!event.currentTarget.contains(event.relatedTarget)) {
+    isDragActive.value = false
+  }
+}
+
+function onDropFiles(event) {
+  if (!canEdit.value) return
+  isDragActive.value = false
+  const files = Array.from(event.dataTransfer?.files || []).filter((file) => file.type.startsWith('image/'))
+  files.forEach(addCustomImage)
+}
+
 async function downloadImage() {
  if (!boardEl.value) return
-  const dataUrl = await htmlToImage.toPng(boardEl.value, { pixelRatio: 2, backgroundColor: '#0b1220' })
-  const a = document.createElement('a')
-  a.href = dataUrl
-  a.download = `${(title.value || gameName.value || 'tierlist').trim()}.png`
-  a.click()
+  isExporting.value = true
+  await nextTick()
+
+  try {
+    const targetEl = exportBoardEl.value || boardEl.value
+    const blob = await htmlToImage.toBlob(targetEl, { pixelRatio: 1.5, backgroundColor: '#0b1220' })
+    if (!blob) throw new Error('image_export_failed')
+
+    const url = URL.createObjectURL(blob)
+    const a = document.createElement('a')
+    a.href = url
+    a.download = `${effectiveTitle.value.trim()}.png`
+    document.body.appendChild(a)
+    a.click()
+    a.remove()
+    URL.revokeObjectURL(url)
+  } finally {
+    isExporting.value = false
+  }
 }

 async function uploadPendingCustomItems() {
@@ -170,12 +352,25 @@ async function uploadPendingCustomItems() {
  }
 }

+async function uploadPendingThumbnail() {
+  if (!pendingThumbnailFile.value) return thumbnailSrc.value || ''
+  const data = await api.uploadTierListThumbnail(pendingThumbnailFile.value)
+  if (thumbnailPreviewUrl.value) {
+    URL.revokeObjectURL(thumbnailPreviewUrl.value)
+    thumbnailPreviewUrl.value = ''
+  }
+  pendingThumbnailFile.value = null
+  thumbnailSrc.value = data.thumbnailSrc || ''
+  return thumbnailSrc.value
+}
+
 function buildPayload(existingId) {
-  const finalTitle = (title.value || '').trim() || `${(gameName.value || gameId.value).trim()} 티어표`
+  const finalTitle = effectiveTitle.value
  return {
    id: existingId || undefined,
    gameId: gameId.value,
    title: finalTitle,
+    thumbnailSrc: thumbnailSrc.value || '',
    description: (description.value || '').trim(),
    isPublic: !!isPublic.value,
    groups: groups.value.map((g) => ({ id: g.id, name: g.name, itemIds: g.itemIds })),
@@ -188,9 +383,14 @@ async function save() {
  isSaving.value = true
  try {
    await uploadPendingCustomItems()
+    await uploadPendingThumbnail()
    const payload = buildPayload(tierListId.value && tierListId.value !== 'new' ? tierListId.value : null)
    const res = await api.saveTierList(payload)
    if (tierListId.value === 'new') history.replaceState({}, '', `/editor/${gameId.value}/${res.tierList.id}`)
+    updatedAt.value = Number(res.tierList?.updatedAt || Date.now())
+    authorName.value = res.tierList?.authorName || effectiveAuthorName.value
+    authorAccountName.value = res.tierList?.authorAccountName || authorAccountName.value
+    isSaveModalOpen.value = true
  } catch (e) {
    error.value = '저장 실패: 로그인 상태인지 확인해주세요.'
  } finally {
@@ -198,8 +398,34 @@ async function save() {
  }
 }

+function closeSaveModal() {
+  isSaveModalOpen.value = false
+}
+
+async function removeTierList() {
+  if (!canEdit.value || isNewTierList.value) return
+  error.value = ''
+  try {
+    const ok = window.confirm(`"${title.value || gameName.value || '이 티어표'}"를 삭제할까요?`)
+    if (!ok) return
+    await api.deleteTierList(tierListId.value)
+    router.push(gameId.value === 'freeform' ? '/me' : `/games/${gameId.value}`)
+  } catch (e) {
+    error.value = '티어표 삭제에 실패했어요.'
+  }
+}
+
 onMounted(() => {
  ;(async () => {
+    await auth.refresh()
+    authorName.value = (auth.user?.nickname || '').trim()
+    authorAccountName.value = ((auth.user?.email || '').trim().split('@')[0] || '').trim()
+
+    if (isNewTierList.value && !auth.user) {
+      router.replace(`/login?redirect=/editor/${gameId.value}/new`)
+      return
+    }
+
    try {
      const gameRes = await api.getGame(gameId.value)
      gameName.value = gameRes.game?.name || gameId.value
@@ -221,9 +447,14 @@ onMounted(() => {
      try {
        const res = await api.getTierList(tierListId.value)
        const t = res.tierList
+        ownerId.value = t.authorId
        title.value = t.title
+        thumbnailSrc.value = t.thumbnailSrc || ''
        description.value = t.description || ''
        isPublic.value = !!t.isPublic
+        authorName.value = t.authorName || ''
+        authorAccountName.value = t.authorAccountName || ''
+        updatedAt.value = Number(t.updatedAt || 0)
        groups.value = t.groups
        const map = {}
        ;(t.pool || []).forEach((it) => (map[it.id] = it))
@@ -237,44 +468,119 @@ onMounted(() => {
    }

    await nextTick()
-    await initSortables()
+    if (canEdit.value) {
+      await initSortables()
+    }
  })()
 })
+
+onUnmounted(() => {
+  if (thumbnailPreviewUrl.value) URL.revokeObjectURL(thumbnailPreviewUrl.value)
+  destroySortables()
+})
 </script>

 <template>
  <section class="head">
-    <div>
-      <div class="kicker">{{ gameName || gameId }}</div>
-      <input v-model="title" class="titleInput" placeholder="티어표 이름을 입력하세요" />
-      <input
-        v-model="description"
-        class="descInput"
-        placeholder="설명(선택): 이 티어표의 기준/룰"
-      />
-      <div class="hint">
-        그룹 이름/순서 변경과 아이템 드래그&드롭이 가능합니다. 저장하려면 로그인 후 <b>저장</b>을 누르세요.
+    <div class="heroCard">
+      <div class="heroCard__main">
+        <input v-model="title" class="titleInput" placeholder="티어표 이름을 입력하세요" :readonly="!canEdit" />
+        <div v-if="untitledWarning" class="titleNotice">{{ untitledWarning }}</div>
+        <input
+          v-model="description"
+          class="descInput"
+          placeholder="설명(선택): 이 티어표의 기준/룰"
+          :readonly="!canEdit"
+        />
+        <div class="hint">
+          <template v-if="canEdit">
+            그룹 이름/순서 변경과 아이템 드래그&드롭이 가능합니다. 저장하려면 <b>저장</b>을 누르세요.
+          </template>
+          <template v-else>
+            공개된 티어표를 보는 중입니다. 로그인한 작성자만 수정할 수 있어요.
+          </template>
+        </div>
+      </div>
+      <div class="heroCard__side">
+        <div class="thumbComposer">
+          <input ref="thumbnailFileEl" type="file" accept="image/*" class="hidden" @change="onThumbnailChange" />
+          <div class="thumbComposer__header">
+            <div class="thumbComposer__eyebrow">대표 썸네일</div>
+            <div class="thumbComposer__caption">목록 카드 상단에 표시됩니다.</div>
+          </div>
+          <div class="thumbComposer__preview">
+            <img v-if="displayThumbnailUrl" class="thumbComposer__image" :src="displayThumbnailUrl" alt="썸네일 미리보기" />
+            <div v-else class="thumbComposer__empty">썸네일 없음</div>
+          </div>
+          <div v-if="canEdit" class="thumbComposer__actions">
+            <button class="btn btn--ghost thumbComposer__button" @click="openThumbnailFile">썸네일 선택</button>
+            <button class="btn btn--danger thumbComposer__button" :disabled="!pendingThumbnailFile && !thumbnailSrc" @click="clearThumbnail">제거</button>
+          </div>
+        </div>
      </div>
    </div>
    <div class="actions">
-      <label class="toggle">
-        <input v-model="isPublic" type="checkbox" />
-        <span>공개</span>
-      </label>
-      <button class="btn" :disabled="isSaving" @click="save">{{ isSaving ? '저장중...' : '저장' }}</button>
-      <button class="btn btn--primary" @click="downloadImage">이미지로 다운로드</button>
+      <div class="actions__left">
+        <button class="btn btn--download" @click="downloadImage">이미지 다운로드</button>
+        <button v-if="canEdit && !isNewTierList" class="btn btn--danger" @click="removeTierList">삭제</button>
+      </div>
+      <div class="actions__right">
+        <label class="toggle" :class="{ 'toggle--disabled': !canEdit }">
+        <input v-model="isPublic" type="checkbox" :disabled="!canEdit" />
+          <span>{{ isPublic ? '공개 ON' : '공개 OFF' }}</span>
+        </label>
+        <button v-if="canEdit" class="btn btn--save" :disabled="isSaving" @click="save">{{ isSaving ? '저장중...' : '저장' }}</button>
+      </div>
    </div>
  </section>

  <div v-if="error" class="error">{{ error }}</div>

-  <section class="layout">
+  <div v-if="isSaveModalOpen" class="modalOverlay" @click.self="closeSaveModal">
+    <div class="modalCard" role="dialog" aria-modal="true" aria-labelledby="saveModalTitle">
+      <div id="saveModalTitle" class="modalCard__title">저장 완료</div>
+      <div class="modalCard__desc">티어표가 저장되었어요. 이어서 더 수정한 뒤 다시 저장할 수도 있어요.</div>
+      <div class="modalCard__actions">
+        <button class="btn btn--save" @click="closeSaveModal">확인</button>
+      </div>
+    </div>
+  </div>
+
+  <section class="layout" :style="{ '--thumb-size': `${iconSize}px` }">
    <div ref="boardEl" class="board">
-      <div ref="groupListEl" class="rows">
+      <div v-if="canEdit && !isExporting" class="boardTools">
+        <div class="boardTools__left">
+          <button class="btn btn--ghost" @click="addGroup">티어 추가</button>
+        </div>
+        <div class="boardTools__right">
+          <span class="boardTools__label">아이콘 크기</span>
+          <div class="sizePicker">
+            <button
+              v-for="size in iconSizeOptions"
+              :key="size"
+              class="sizePicker__button"
+              :class="{ 'sizePicker__button--active': iconSize === size }"
+              @click="setIconSize(size)"
+            >
+              {{ size }}
+            </button>
+          </div>
+        </div>
+      </div>
+      <div ref="exportBoardEl" class="exportBoard" :class="{ 'exportBoard--active': isExporting }">
+        <div v-if="isExporting" class="exportBoard__title">{{ effectiveTitle }}</div>
+        <div v-if="isExporting && description" class="exportBoard__description">{{ description }}</div>
+        <div ref="groupListEl" class="rows">
        <div v-for="g in groups" :key="g.id" class="row">
          <div class="row__label">
-            <span class="grab" title="드래그로 순서 변경" data-group-handle>↕</span>
-            <input v-model="g.name" class="groupName" />
+            <template v-if="isExporting">
+              <div class="row__exportName">{{ g.name }}</div>
+            </template>
+            <template v-else>
+              <span class="grab" title="드래그로 순서 변경" data-group-handle>↕</span>
+              <input v-model="g.name" class="groupName" :readonly="!canEdit" />
+              <button v-if="canEdit" class="rowRemoveBtn" :disabled="groups.length <= 1" @click="removeGroup(g.id)">삭제</button>
+            </template>
          </div>
          <div
            class="row__drop"
@@ -282,61 +588,90 @@ onMounted(() => {
            :data-group-id="g.id"
            :ref="(el) => setGroupDropEl(g.id, el)"
          >
-            <div class="row__empty" v-show="g.itemIds.length === 0">여기로 드래그해서 배치</div>
+            <div v-if="!isExporting" class="row__empty" v-show="g.itemIds.length === 0">여기로 드래그해서 배치</div>
            <div v-for="id in g.itemIds" :key="id" class="cell" :data-item-id="id">
              <img :src="resolveItemSrc(itemsById[id])" class="thumb" :alt="itemsById[id]?.label || id" />
            </div>
          </div>
        </div>
      </div>
+        <div v-if="isExporting" class="exportBoard__footer">
+          <span>{{ effectiveAuthorName }}</span>
+          <span>{{ formatExportDate(fallbackTimestamp) }}</span>
+        </div>
+      </div>
    </div>

    <div class="sidebar">
      <div class="sidebar__title">아이템</div>
-      <div class="sidebar__hint">게임별 기본 이미지 + 커스텀 업로드를 여기에 모읍니다.</div>
+      <div class="sidebar__hint">
+        {{ canEdit ? '게임별 기본 이미지와 커스텀 업로드를 여기에 모읍니다.' : '공개 티어표는 보기 전용입니다.' }}
+      </div>
      <div ref="poolEl" class="pool" data-list-type="pool">
        <div v-for="id in pool" :key="id" class="poolItem" :data-item-id="id">
          <img :src="resolveItemSrc(itemsById[id])" class="thumb" :alt="itemsById[id]?.label || id" />
          <div class="poolItem__label">{{ itemsById[id]?.label || id }}</div>
        </div>
      </div>
-      <input ref="fileEl" type="file" accept="image/*" class="hidden" @change="onFileChange" />
-      <button class="btn btn--ghost" @click="openFile">커스텀 이미지 추가</button>
+      <div
+        v-if="canEdit"
+        class="dropzone"
+        :class="{ 'dropzone--active': isDragActive }"
+        @dragenter.prevent="onDragEnter"
+        @dragover.prevent="onDragEnter"
+        @dragleave="onDragLeave"
+        @drop.prevent="onDropFiles"
+      >
+        <div class="dropzone__title">커스텀 이미지 추가</div>
+        <div class="dropzone__desc">여러 이미지를 한 번에 드래그하거나 파일 선택으로 추가할 수 있어요.</div>
+      </div>
+      <input ref="fileEl" type="file" accept="image/*" multiple class="hidden" @change="onFileChange" />
+      <button v-if="canEdit" class="btn btn--ghost" @click="openFile">파일 선택</button>
    </div>
  </section>
 </template>

 <style scoped>
 .head {
-  display: flex;
+  display: grid;
  gap: 14px;
-  align-items: flex-end;
-  justify-content: space-between;
-  flex-wrap: wrap;
  padding: 6px 2px 14px;
 }
-.kicker {
-  font-size: 12px;
-  opacity: 0.7;
-  margin-bottom: 6px;
+.heroCard {
+  display: grid;
+  grid-template-columns: minmax(0, 1.5fr) minmax(280px, 360px);
+  gap: 18px;
+  align-items: stretch;
+}
+.heroCard__main,
+.heroCard__side {
+  min-width: 0;
+}
+.heroCard__main {
+  display: grid;
+  gap: 12px;
+}
+.heroCard__side {
+  display: flex;
 }
 .titleInput {
-  width: min(520px, 92vw);
+  width: 100%;
  font-size: 22px;
  font-weight: 800;
  letter-spacing: -0.02em;
-  padding: 10px 12px;
-  border-radius: 14px;
+  padding: 14px 16px;
+  border-radius: 18px;
  border: 1px solid rgba(255, 255, 255, 0.12);
-  background: rgba(255, 255, 255, 0.04);
+  background: linear-gradient(180deg, rgba(255, 255, 255, 0.07), rgba(255, 255, 255, 0.04));
  color: rgba(255, 255, 255, 0.92);
  outline: none;
+  box-sizing: border-box;
 }
 .descInput {
-  margin-top: 10px;
-  width: min(520px, 92vw);
-  padding: 10px 12px;
-  border-radius: 14px;
+  width: 100%;
+  min-height: 92px;
+  padding: 14px 16px;
+  border-radius: 18px;
  border: 1px solid rgba(255, 255, 255, 0.12);
  background: rgba(0, 0, 0, 0.18);
  color: rgba(255, 255, 255, 0.92);
@@ -345,13 +680,84 @@ onMounted(() => {
 }
 .hint {
  opacity: 0.78;
-  margin-top: 8px;
  font-size: 13px;
+  line-height: 1.6;
+  padding: 0 2px;
+}
+.titleNotice {
+  font-size: 13px;
+  line-height: 1.5;
+  color: rgba(251, 191, 36, 0.94);
+  padding: 0 2px;
+}
+.thumbComposer {
+  display: grid;
+  gap: 10px;
+  width: 100%;
+  padding: 16px;
+  border-radius: 22px;
+  border: 1px solid rgba(255, 255, 255, 0.12);
+  background:
+    radial-gradient(circle at top right, rgba(96, 165, 250, 0.12), transparent 46%),
+    rgba(255, 255, 255, 0.04);
+  box-sizing: border-box;
+}
+.thumbComposer__header {
+  display: grid;
+  gap: 4px;
+}
+.thumbComposer__eyebrow {
+  font-size: 13px;
+  font-weight: 900;
+  letter-spacing: 0.02em;
+}
+.thumbComposer__caption {
+  font-size: 12px;
+  opacity: 0.68;
+}
+.thumbComposer__preview {
+  width: 100%;
+  aspect-ratio: 16 / 9;
+  border-radius: 18px;
+  overflow: hidden;
+  border: 1px solid rgba(255, 255, 255, 0.12);
+  background: rgba(11, 18, 32, 0.78);
+}
+.thumbComposer__image {
+  width: 100%;
+  height: 100%;
+  object-fit: cover;
+}
+.thumbComposer__empty {
+  width: 100%;
+  height: 100%;
+  display: grid;
+  place-items: center;
+  color: rgba(255, 255, 255, 0.62);
+  font-size: 13px;
+}
+.thumbComposer__actions {
+  display: grid;
+  grid-template-columns: repeat(2, minmax(0, 1fr));
+  gap: 10px;
+}
+.thumbComposer__button {
+  width: 100%;
+  margin-top: 0;
 }
 .actions {
+  display: flex;
+  gap: 14px;
+  align-items: center;
+  justify-content: space-between;
+  flex-wrap: wrap;
+}
+.actions__left,
+.actions__right {
  display: flex;
  gap: 10px;
  align-items: center;
+  flex-wrap: wrap;
 }
 .toggle {
  display: inline-flex;
@@ -369,6 +775,10 @@ onMounted(() => {
  width: 16px;
  height: 16px;
 }
+.toggle--disabled {
+  opacity: 0.55;
+  pointer-events: none;
+}
 .btn {
  padding: 10px 12px;
  border-radius: 12px;
@@ -387,14 +797,36 @@ onMounted(() => {
 .btn--primary:hover {
  background: rgba(110, 231, 183, 0.24);
 }
+.btn--download {
+  justify-self: flex-start;
+}
+.btn--save {
+  min-width: 112px;
+  padding: 12px 18px;
+  font-size: 15px;
+  font-weight: 900;
+  background: rgba(96, 165, 250, 0.22);
+  border-color: rgba(96, 165, 250, 0.36);
+}
+.btn--save:hover {
+  background: rgba(96, 165, 250, 0.3);
+}
+.btn--danger {
+  background: rgba(239, 68, 68, 0.14);
+  border-color: rgba(239, 68, 68, 0.28);
+}
+.btn--danger:hover {
+  background: rgba(239, 68, 68, 0.22);
+}
 .btn--ghost {
  width: 100%;
-  margin-top: 10px;
+  margin-top: 0;
 }
 .layout {
  display: grid;
  grid-template-columns: 1fr 320px;
  gap: 14px;
+  align-items: start;
 }
 .error {
  margin: 10px 0 14px;
@@ -407,7 +839,120 @@ onMounted(() => {
  border: 1px solid rgba(255, 255, 255, 0.12);
  background: rgba(255, 255, 255, 0.04);
  border-radius: 16px;
-  padding: 12px;
+  padding: 20px;
+  align-self: start;
+}
+.modalOverlay {
+  position: fixed;
+  inset: 0;
+  z-index: 40;
+  display: grid;
+  place-items: center;
+  padding: 20px;
+  background: rgba(4, 8, 16, 0.68);
+  backdrop-filter: blur(4px);
+}
+.modalCard {
+  width: min(100%, 420px);
+  border-radius: 20px;
+  padding: 24px;
+  border: 1px solid rgba(255, 255, 255, 0.14);
+  background: linear-gradient(180deg, rgba(17, 24, 39, 0.96), rgba(11, 18, 32, 0.96));
+  box-shadow: 0 24px 60px rgba(0, 0, 0, 0.38);
+  display: grid;
+  gap: 10px;
+}
+.modalCard__title {
+  font-size: 22px;
+  font-weight: 900;
+  letter-spacing: -0.02em;
+}
+.modalCard__desc {
+  line-height: 1.6;
+  opacity: 0.82;
+}
+.modalCard__actions {
+  display: flex;
+  justify-content: flex-end;
+  margin-top: 8px;
+}
+.boardTools {
+  display: flex;
+  gap: 12px;
+  align-items: center;
+  justify-content: flex-end;
+  margin-bottom: 14px;
+  flex-wrap: wrap;
+}
+.boardTools__left,
+.boardTools__right {
+  display: flex;
+  gap: 10px;
+  align-items: center;
+  flex-wrap: wrap;
+}
+.boardTools__left {
+  margin-right: auto;
+}
+.boardTools__label {
+  font-size: 13px;
+  opacity: 0.76;
+  font-weight: 800;
+}
+.sizePicker {
+  display: flex;
+  gap: 8px;
+  flex-wrap: wrap;
+}
+.sizePicker__button {
+  margin: 0;
+  min-width: 48px;
+  padding: 8px 10px;
+  border-radius: 10px;
+  border: 1px solid rgba(255, 255, 255, 0.14);
+  background: rgba(255, 255, 255, 0.05);
+  color: rgba(255, 255, 255, 0.92);
+  cursor: pointer;
+  font-weight: 800;
+}
+.sizePicker__button--active {
+  background: rgba(96, 165, 250, 0.24);
+  border-color: rgba(96, 165, 250, 0.38);
+}
+.exportBoard--active {
+  display: grid;
+  gap: 12px;
+  width: 960px;
+  max-width: none;
+  box-sizing: border-box;
+  padding: 44px 52px;
+  border-radius: 28px;
+  background:
+    radial-gradient(circle at top, rgba(96, 165, 250, 0.14), transparent 38%),
+    rgba(11, 18, 32, 0.98);
+}
+.exportBoard__title {
+  font-size: 28px;
+  font-weight: 900;
+  letter-spacing: -0.03em;
+  text-align: left;
+}
+.exportBoard__description {
+  margin-top: -4px;
+  font-size: 14px;
+  line-height: 1.5;
+  opacity: 0.74;
+  text-align: left;
+}
+.exportBoard__footer {
+  margin-top: 12px;
+  padding-top: 18px;
+  border-top: 1px solid rgba(255, 255, 255, 0.12);
+  display: flex;
+  justify-content: space-between;
+  gap: 16px;
+  font-size: 15px;
+  opacity: 0.8;
 }
 .rows {
  display: grid;
@@ -426,7 +971,7 @@ onMounted(() => {
  display: flex;
  gap: 8px;
  align-items: center;
-  justify-content: flex-start;
+  justify-content: center;
  padding: 10px 8px;
  font-weight: 900;
  overflow: hidden;
@@ -451,15 +996,35 @@ onMounted(() => {
  border-radius: 10px;
  padding: 6px 8px;
  font-weight: 900;
-  text-align: left;
+  text-align: center;
  outline: none;
  min-width: 0;
 }
+.row__exportName {
+  width: 100%;
+  text-align: center;
+  font-weight: 900;
+  word-break: break-word;
+}
+.rowRemoveBtn {
+  padding: 6px 10px;
+  border-radius: 10px;
+  border: 1px solid rgba(239, 68, 68, 0.28);
+  background: rgba(239, 68, 68, 0.12);
+  color: rgba(255, 255, 255, 0.92);
+  cursor: pointer;
+  font-weight: 800;
+  flex: 0 0 auto;
+}
+.rowRemoveBtn:disabled {
+  opacity: 0.45;
+  cursor: not-allowed;
+}
 .row__drop {
  border-radius: 14px;
  background: rgba(0, 0, 0, 0.18);
  border: 1px solid rgba(255, 255, 255, 0.10);
-  min-height: 74px;
+  min-height: calc(var(--thumb-size, 80px) + 24px);
  padding: 10px;
  display: flex;
  flex-wrap: wrap;
@@ -482,8 +1047,8 @@ onMounted(() => {
  flex: 0 0 auto;
 }
 .thumb {
-  width: 48px;
-  height: 48px;
+  width: var(--thumb-size, 80px);
+  height: var(--thumb-size, 80px);
  border-radius: 10px;
  border: 1px solid rgba(255, 255, 255, 0.14);
  background: rgba(255, 255, 255, 0.06);
@@ -504,13 +1069,34 @@ onMounted(() => {
  font-size: 13px;
  margin-bottom: 10px;
 }
+.dropzone {
+  margin-top: 12px;
+  padding: 14px;
+  border-radius: 16px;
+  border: 1px dashed rgba(255, 255, 255, 0.18);
+  background: rgba(255, 255, 255, 0.03);
+  text-align: center;
+}
+.dropzone--active {
+  border-color: rgba(110, 231, 183, 0.6);
+  background: rgba(110, 231, 183, 0.08);
+}
+.dropzone__title {
+  font-weight: 900;
+}
+.dropzone__desc {
+  margin-top: 6px;
+  opacity: 0.74;
+  font-size: 13px;
+  line-height: 1.4;
+}
 .pool {
  display: grid;
  gap: 10px;
 }
 .poolItem {
  display: grid;
-  grid-template-columns: 52px 1fr;
+  grid-template-columns: var(--thumb-size, 80px) 1fr;
  gap: 10px;
  align-items: center;
  padding: 10px;
@@ -533,11 +1119,32 @@ onMounted(() => {
  border-radius: 14px;
 }
@media (max-width: 980px) {
+  .heroCard {
+    grid-template-columns: 1fr;
+  }
  .layout {
    grid-template-columns: 1fr;
  }
+  .actions {
+    justify-content: stretch;
+  }
+  .actions__left,
+  .actions__right {
+    width: 100%;
+  }
+  .actions__right {
+    justify-content: flex-end;
+  }
  .row {
    grid-template-columns: 150px 1fr;
  }
+  .thumbComposer {
+    padding: 14px;
+    border-radius: 18px;
+  }
+  .titleInput,
+  .descInput {
+    border-radius: 16px;
+  }
 }
 </style>
Author	SHA1	Message	Date
zenn	94152f22b2	릴리스: v0.1.39 티어표 편집 헤더 레이아웃 정리	2026-03-26 18:24:18 +09:00
zenn	5d778e9c20	릴리스: v0.1.38 아이템 이름 수정과 티어표 썸네일 추가	2026-03-26 18:14:54 +09:00
zenn	f729b6fa82	릴리스: v0.1.37 운영 배포 설정과 로컬 변경 동기화	2026-03-26 17:53:32 +09:00
zenn	c413371935	릴리스: v0.1.36 제목 기본값과 브라우저 타이틀 조정	2026-03-26 17:44:44 +09:00
zenn	e0c2995518	릴리스: v0.1.35 NAS Git 배포 절차 정리	2026-03-26 17:33:47 +09:00
zenn	5c3877b5c1	릴리스: v0.1.34 파비콘과 관리자 기본 아이템 업로드 개선	2026-03-26 17:30:03 +09:00
zenn	3eceec64e7	릴리스: v0.1.27 UGREEN NAS 운영 배포 파일 추가	2026-03-26 15:25:28 +09:00
zenn	37b59c7ab6	릴리스: v0.1.26 아이콘 크기 단계 조절 추가	2026-03-26 15:19:33 +09:00
zenn	464819571b	릴리스: v0.1.25 export 보드 폭 추가 축소	2026-03-26 15:09:41 +09:00
zenn	b1d5355123	릴리스: v0.1.24 드래그 정렬과 export 크기 조정	2026-03-26 15:05:43 +09:00
zenn	c1575783f0	릴리스: v0.1.23 홈 게임 정렬과 관리자 순서 관리 추가	2026-03-26 14:59:50 +09:00
zenn	b58a641453	릴리스: v0.1.22 무제목 저장 규칙과 export 정보 보강	2026-03-26 14:50:43 +09:00
zenn	b3f9f8e4d0	릴리스: v0.1.21 저장 피드백과 썸네일 fallback 정리	2026-03-26 14:39:34 +09:00
zenn	2374cd9272	릴리스: v0.1.20 게임 카드 3열 레이아웃 정리	2026-03-19 18:25:02 +09:00
zenn	d4ab4b2cd1	릴리스: v0.1.19 티어표 저장 UI와 작성자 표시 정리	2026-03-19 18:17:53 +09:00
zenn	7bc1af268f	릴리스: v0.1.18 미사용 아이템 필터 동작 수정	2026-03-19 17:58:41 +09:00
zenn	8af2726574	릴리스: v0.1.17 티어표 삭제와 미사용 이미지 정리 추가	2026-03-19 17:52:09 +09:00
zenn	85ee6e3649	릴리스: v0.1.16 티어표 편집 화면 마감 정리	2026-03-19 17:44:21 +09:00
zenn	a1afa658c2	릴리스: v0.1.15 다운로드와 반응형 UI 보정	2026-03-19 17:35:38 +09:00
zenn	b97d7eacda	릴리스: v0.1.13 관리자 탭과 가변 티어 행 추가	2026-03-19 16:58:17 +09:00
zenn	f6a031cfe4	릴리스: v0.1.12 작성 권한과 회원 관리 보강	2026-03-19 16:44:50 +09:00
zenn	c71a19873d	릴리스: v0.1.11 관리자 레이아웃과 자유 티어표 흐름 정리	2026-03-19 16:20:06 +09:00