[Security]OWASP Top 10

OWASP(Open Web Application Security Project)

 

웹 애플리케이션 보안 강화를 위해 설립된 비영리 단체로, OWASP Top 10을 발표하고 있습니다.

최신 버전은 2021년에 발표되었습니다. 이 목록은 웹 애플리케이션 개발자와 보안전문가들이 주목해야 할 주요 보안 취약점을 다루고 있습니다. 그리고 2025년 새로운 개정 리스트가 발표될 예정입니다. 2025년 11월 첫째 주에 워싱턴 D.C.에서 열리는 OWASP 글로벌 앱 보안 컨퍼런스에서 OWASP Top 10:2025 발표를 예정대로 진행할 예정입니다 .

 

OWASP Top 2017 vs 2021 주요 차이점

1. Injection이 1위에서 3위로 하락

2.Insecure Design, Software and Data Integrity Failures, Server-Side Request Forgery(SSRF) 신규 추가

3. Crytographic Failures가 기존 Sensitive Data Exposure을 대체

4.취약하고 구식의 구성요소 사용이 기존 알려진 취약점이 있는 구성요소 사용을 대체

5.보안 로깅 및 모니터링 실패가 기존 불충분한 로깅 및 모니터링을 개선

 

• A01:2021-취약한 접근 제어 (Broken Access Control)  애플리케이션의 94%가 손상된 접근 제어에 대해 테스트되었습니다. 34가지 공통 취약점 목록(CWE) 매핑됩니다.(전체 범주 중 가장 많은 발생)
  • 5위 -> 1위 
  • 사용자가 허가되지 않은 기능이나 데이터에 접근할 수 있는 취약점입니다. 권한이 없는 사용자가 관리자 기능을 수행하거나 다른 사용자의 데이터를 조회할 수 있습니다.

• A02:2021-암호화 오류(Cryptographic Failures) 이전 명칭은 '민감 데이터 노출'로 알려졌습니다.
  • 3위 -> 2위 
  • 중요한 데이터를 보호하기 위해 제대로 구현되지 않아 발생하는 취약점입니다. 민감 데이터 노출이나 시스템 손상으로 이어지는 암호화 관련 오류에 다시 초점을 맞춥니다.
• A03:2021-인젝션 (Injection) 애플리케이션의 94%가 어떤 형태로든 인젝션 공격을 테스트했습니다. 33개의 CWE을 포함합니다. (애플리케이션에서 두 번째로 많이 발생), XSS(크로스 사이트 스크립팅)이 이 범주에 포함되었습니다.
  • 1위 -> 3위 
  • SQL, NoSQL, OS명령어, LDAP 등의 쿼리에 악의적인 코드를 주입하여 실행시키는 공격입니다.
• A04:2021-안전하지 않은 설계 (Insecure Design) 설계 결함과 관련된 위험에 중점을 두고 있습니다. 업계 전체가 진정으로 "move left" 한다면, 위협 모델링, 보안 설계 패턴 및 원칙, 그리고 참조 아키텍처를 더욱 적극적으로 활용해야 합니다.
  • 신규 추가 
  • 보안 고려가 부족한 설계로 인해 발생하는 취약점입니다. 인증 또는 권한 부여가 부적절하게 설계된 경우입니다.
• A05:2021-보안 설정 미흡 (Security Misconfiguration) 애플리케이션의 90%가 어떤 형태로든 구성 오류를 테스트했습니다. 이전에 XML 외부 엔티티(XXE)를 담당했던 범주가 이 범주에 포함됩니다.
  • 6위 -> 5위 
  • 안전하지 않은 기본설정, 불필요한 기능 활성화, 최신 패치 미적용 등으로 인해 발생하는 취약점입니다.
• A06:2021-취약하고 오래된 구성 요소 (Vulnerable and Outdated Components) 이전에 "알려진 취약점이 있는 구성 요소 사용"이라는 제목으로 선정되었습니다. 포함된 CWE에 공통 취약점 및 노출(CVE)이 매핑되지 않은 유일한 범주이므로, 기본 익스플로잇 및 영향 가중치 5.0이 점수에 반영됩니다.
  • 9위->6위 
  • 라이브러리나 프레임워크를 사용하는 경우 발생하는 취약점입니다.
• A07:2021-인증 및 승인 실패 (Identification and Authentication Failures) 이전에는 '인증 ​​실패'였으며, 이제 식별 실패와 더 관련된 CWE가 포함됩니다. 표준화된 프레임워크의 가용성 증가가 도움이 되는 것으로 보입니다.
  • 2위 -> 7위 
  • 사용자 인증 및 세션 관리의 실패로 인해 발생하는 취약점입니다. 약한 비밀번호 정책이나 세션 탈취 등에 해당됩니다.
• A08:2021-소프트웨어 및 데이터 무결성 실패 (Software and Data Integrity Failures) 무결성 검증 없이 소프트웨어 업데이트, 중요 데이터, CI/CD 파이프라인과 관련된 가정을 하는 데 중점을 둡니다. 이 범주의 10가지 CWE에 매핑된 CVE/CVSS(Common Vulnerability and Exposures/Common Vulnerability Scoring System) 데이터에서 가장 높은 가중치를 가진 영향 중 하나입니다. 2017년의 안전하지 않은 역직렬화는 이제 이 더 큰 범주에 포함됩니다.
  • 신규 추가 
  • 코드나 데이터의 무결성이 손상되어 발생하는 취약점입니다. 신뢰할 수 없는 소스에서 플러그인을 다운로드 하여 사용하는 경우입니다.
• A09:2021-보안 로깅 및 모니터링 실패 (Security Logging and Monitoring Faulures)) 이전에는 '불충분한 로깅 및 모니터링'이었으며. 테스트가 어렵고 CVE/CVSS 데이터에는 잘 반영되지 않습니다. 그러나 이 범주의 실패는 가시성, 사고 알림 및 포렌식에 직접적인 영향을 미칠 수 있습니다.
  • 10위 -> 9위 
  • 보안 이벤트를 적절히 로깅하거나 모니터링 하지 않아 공격을 탐지하고 대응하는 데 실패하는 경우입니다.
• A10:2021-서버 측 요청 위조 (SSRF, Server-Side Request Forgery)
  • 신규 추가 
  • 서버가 신뢰할 수 없는 입력을 사용하여 다른 서버로 요청을 보내는 취약점입니다. 이를 통해 공격자는 내부 시스템에 접근할 수 있습니다.

 

 

OWASP에 소개된 각 취약점에 대한 구체적인 설명과 예시는 공식 웹사이트 https://owasp.org/www-project-top-ten/ 에서 확인하실 수 있습니다.

OWASP Top Ten | OWASP Foundation