최신 OWASP Top 10 (2021 + 2025 예상)

byAngello 정보보안기사 2 min read
0

🔹 OWASP Top 10이란?

OWASP(Open Web Application Security Project)는 전 세계 보안 전문가들이 웹 애플리케이션 취약점 데이터를 분석해 정리한 가장 영향력 있는 보안 기준.
이 리스트는 개발, 보안, 운영 모두가 공통 언어로 보안을 이야기할 수 있게 만들어줍니다..

🔐 현재 공식 최신판: OWASP Top 10 (2021)

항목 이름 주요 내용 핵심 대책
A01 Broken Access Control 권한 검증 실패 역할 기반 접근제어(RBAC), 서버측 권한 확인
A02 Cryptographic Failures 암호화 설정/키 관리 부실 TLS 1.3, AES-256, 안전한 키 보관
A03 Injection SQL/Command 주입 공격 입력 검증, Prepared Statement
A04 Insecure Design 설계단계에서 보안 미반영 위협 모델링, 보안 설계 패턴
A05 Security Misconfiguration 보안 설정 오류 최소 권한 원칙, 점검 자동화
A06 Vulnerable Components 취약하거나 오래된 라이브러리 최신 업데이트, SCA 도구
A07 Identification & Auth Failures 인증/세션 관리 문제 MFA, 세션 타임아웃, 강한 암호
A08 Software & Data Integrity Failures 무결성 검증 실패 코드 서명, 패키지 무결성 검사
A09 Security Logging & Monitoring Failures 로그 기록 및 탐지 부족 로그 분석, 이상탐지, SIEM
A10 Server-Side Request Forgery(SSRF) 서버가 내부로 잘못된 요청 요청 필터링, 화이트리스트

🔮 다가올 OWASP Top 10 (2025 예상 트렌드)

보안 업계 전망에 따르면 다음 5가지 방향이 강화될 가능성이 높아.

① API 보안의 확대

BOLA(Broken Object Level Authorization) 등 API 권한 취약점이 별도 항목으로 격상 예상
📌 → API 요청별 객체 검증, 스키마 기반 필터링 중요

② 클라우드 설정 보안 세분화

단순 서버 설정 오류 → IAM, S3, KMS 등 클라우드 환경 중심 확대
📌 → CSPM(Cloud Security Posture Management) 필수

③ 보안 설계 및 Threat Modeling 강화

“Insecure Design” 항목이 더 세분화되어 ‘보안 설계 부족’ 중점 평가 예상

④ 공급망 보안 (Supply Chain Security) 강화

라이브러리 / CI CD 체인 위변조 탐지 중요
📌 → SBOM(Software Bill of Materials) 관리, 서명 검증

⑤ 비즈니스 로직 취약점 등장 가능

기술적 취약점 외 에 업무 흐름 조작 (예: 할인 우회) 이슈 반영 예정

📊 예상 2025 리스트 (참고용)

  1. Broken Access Control / API BOLA

  2. Injection & API 입력 조작

  3. Security Misconfiguration (클라우드 포함)

  4. Insecure Design / Threat Modeling 부재

  5. Cryptographic Failures & Key 관리 문제

  6. Software & Data Integrity (Supply Chain 위협)

  7. Identification / Authentication Failures

  8. Logging & Monitoring Failures

  9. Business Logic / 복합 흐름 취약점

  10. SSRF 및 외부 요청 조작 계열

🤖 보너스: AI 시대용 OWASP Top 10 (GenAI/LLM)

OWASP는 2025에 AI/LLM용 별도 리스트도 발표할 예정.
대표 항목은 이래 👇

  • Prompt Injection / System Prompt Leakage

  • Data Poisoning / Embedding Manipulation

  • Model Theft / Output Tampering

  • Sensitive Information Disclosure

  • Excessive Agency (모델이 허용 범위 넘어 행동)


4.94 / 169 rates

댓글 쓰기

새 댓글을 작성할 수 없습니다.*

다음 이전