OWASP란 무엇일까요?

OWASP(Open Worldwide Application Security Project) 는 소프트웨어 보안 향상을 목표로 하는 비영리 단체입니다. 초기에 Open Web Application Security Project로 알려져 있었던 OWASP는 ‘교육, 툴, 협업을 통해 안전한 소프트웨어를 지원하는 글로벌 개방형 커뮤니티 조성’이라는 사명으로 2001년에 설립되었습니다. 2024년 현재, OWASP 재단은 아프리카, 아시아, 카리브해, 중미, 유럽, 북미, 오세아니아, 남미 등 전 세계에 250개 이상의 지부를 두고 있습니다. 

OWASP는 커뮤니티가 주도하는 다양한 오픈 소스 소프트웨어 프로젝트를 관리하거나 업계 최고의 교육 및 훈련 콘퍼런스를 개최합니다. OWASP의 프로젝트, 툴, 문서, 포럼, 챕터는 무료이며 애플리케이션 보안 개선에 관심이 있는 사람이라면 누구나 이용할 수 있습니다.

OWASP 10대 보안 리스크는 전 세계 보안 전문가들의 광범위한 합의에 따라 웹 애플리케이션에 대한 가장 심각한 보안 리스크를 나열한 목록입니다. OWASP 10대 보안 리스크는 웹 애플리케이션의 보안을 보장하고 보다 안전한 코드를 생산하기 위해 소프트웨어 개발 문화를 변화시키는 책임을 맡은 기업, DevOps 팀, 규제 기관, 기타 이해관계자를 위한 지침 역할을 합니다.

OWASP 10대 보안 리스크 목록은 기여자로 구성된 개방형 커뮤니티의 경험과 전문 지식 그리고 전 세계 보안 전문가들의 합의에 기반을 두고 있습니다. 목록에 나열된 리스크는 각 보안 취약점의 발생 빈도 및 그 잠재적 영향의 심각성과 규모 등 여러 가지 요소에 따라 순위가 매겨집니다.

지금 Akamai OWASP 10대 보안 리스크 백서를 다운로드하세요.

1. A01:2021 잘못된 접속 제어 는 공격자가 사용자 계정에 접속해 사용자 또는 관리자 역할을 수행할 수 있도록 허용합니다. 또한 일반 사용자에게 의도하지 않은 권한 기능을 사용하도록 허용할 수도 있습니다.
2. A02:2021 암호화 실패 는 중요하거나 민감한 데이터를 저장 또는 전송 시 데이터가 감염될 때 발생합니다.
3. A03:2021 코드 인젝션 공격 (SQL 인젝션 등)은 공격자가 웹 애플리케이션에 잘못된 데이터나 악성 코드를 전송해 애플리케이션이 의도하지 않은 작업을 수행하도록 만들 때 발생합니다.
4. A04:2021 안전하지 않은 설계 취약점 은 인증 프로세스가 부적절한 앱이나 봇을 방어하도록 설계되지 않은 웹사이트와 같이 안전하지 않은 프로세스를 중심으로 애플리케이션이 개발될 때 발생합니다.
5. A05:2021 보안 설정 오류 에는 클라우드 서비스 권한을 잘못 설정하거나, 기본 관리자 비밀번호를 사용하거나, 필요하지 않은 기능을 설치하는 것이 포함됩니다.
6. A06:2021 취약하고 오래된 구성요소 는 지원되지 않거나 오래된 소프트웨어 또는 내부 구성요소로 인해 발생하는 취약점입니다.
7. A07:2021 식별 및 인증 실패 는 앱이 사용자 신원을 제대로 확인 및 검증하지 못하거나 보안 세션 관리를 수행하지 못할 때 발생합니다.
8. A08:2021 소프트웨어 및 데이터 무결성 실패 는 애플리케이션의 코드와 인프라가 소프트웨어 또는 데이터 무결성을 완전히 보호할 수 없을 때 발생합니다.
9. A09:2021 보안 로깅 및 모니터링 실패 는 보안 리스크를 탐지하고 대응하는 애플리케이션의 기능에 약점이 있을 때 발생합니다.
10. A10:2021 서버 측 요청 위조 는 웹 애플리케이션이 URL을 검증하지 않고 사용자 지정 URL을 기반으로 원격 리소스에서 데이터를 가져올 때 발생합니다.

OWASP는 10대 웹 애플리케이션 보안 리스크의 순위를 매기는 것 외에도 10대 API(Application Programming Interface) 보안 리스크를 작성해 API에 대한 가장 위험한 보안 문제와 취약점을 소개합니다. 이 목록은 2019년에 처음 작성되었고 2023년에 업데이트되었습니다.

더 자세한 정보가 필요하신가요? 이 주제에 대한 다음 제목의 Akamai 블로그 게시물을 읽어보세요.

• "OWASP API Security 상위 10대에 제안된 새로운 변경 사항의 의미"

• OWASP 10대 API 보안 리스크: 2023 에디션 드디어 출시

• Akamai, OWASP 10대 API 보안 리스크 방어

1. API1:2023 손상된 오브젝트 수준의 권한 확인 은 API 엔드포인트에 적절한 접속 제어가 이루어지지 않아 민감한 데이터가 노출되고 권한이 없는 사용자가 민감한 데이터에 접속하고 변경할 수 있는 경우에 발생합니다.
2. API2:2023 손상된 인증 은 인증 메커니즘이 잘못 구축되어 공격자가 인증 토큰을 감염시키거나 구축상의 취약점을 악용해 다른 사용자의 신원을 도용할 수 있는 경우에 발생합니다.
3. API3:2023 손상된 오브젝트 프로퍼티 수준의 권한 확인 은 API가 오브젝트 속성 수준에서 권한 확인을 제대로 검증하지 않을 때 발생합니다.
4. API4:2023 무제한 리소스 사용 은 네트워크 대역폭, CPU, 메모리, 저장 공간을 많이 사용하는 요청을 동반하며 잠재적으로 서비스 거부 또는 비용 증가로 이어질 수 있습니다.
5. API5:2023 손상된 기능 수준의 권한 확인 은 계층, 그룹, 역할이 서로 다른 지나치게 복잡한 접속 제어 정책과 관리 기능 및 일반 기능의 불명확한 구분에서 기인한 권한 확인 취약점으로 인해 발생합니다.
6. API6:2023 민감한 비즈니스 플로우에 대한 무제한 접속 은 API가 비즈니스 흐름을 제한하지 않고 노출하거나, 자동화된 방식으로 기능이 과도하게 사용될 수 있는 잠재적 리스크를 보완하지 않을 때 발생합니다.
7. API7:2023 서버 측 요청 위조 는 API가 사용자 제공 URI의 유효성을 검사하지 않은 채 원격 리소스를 가져오고, 이를 통해 공격자가 애플리케이션이 예기치 않은 대상에 조작된 요청을 보내도록 강제할 때 발생합니다.
8. API8:2023 보안 설정 오류 은 소프트웨어 및 DevOps 엔지니어가 API와 이를 지원하는 시스템을 적절하게 설정하지 못할 때 발생합니다.
9. API9:2023 부적절한 인벤토리 관리 는 IT 관리자가 호스트 및 배포된 API 버전의 인벤토리를 적절하게 문서화하고 업데이트하지 않을 때 발생합니다.
10. API10:2023 안전하지 않은 API 사용 은 개발자가 써드파티 API를 검증하지도 않고 신뢰하여 보안 체계가 약화될 때 발생합니다.

OWASP는 여러 주요 프로젝트를 주도하고 감독합니다.

• Dependency-Track 은 기업이 소프트웨어 공급망의 리스크를 식별하고 줄일 수 있도록 돕는 지능형 구성요소 분석 플랫폼입니다. Dependency-Track은 애플리케이션의 모든 버전에서 구성요소 사용을 모니터링해 기업 전반에 존재하는 리스크를 사전에 식별합니다.
• Juice Shop 은 보안 교육, 보안 인식 제고를 위한 시연, CTF(Capture the Flag 대회)에서 사용하거나 보안 툴을 위한 실험용 쥐로 사용하도록 설계된 매우 안전하지 않은 웹 애플리케이션입니다. Juice Shop은 OWASP 10대 보안 리스크에 있는 취약점뿐만 아니라 실제 애플리케이션에서 자주 발견되는 다른 여러 보안 취약점을 모두 고려해 작성되었습니다.
• OWASP 모바일 애플리케이션 보안 프로젝트 는 모바일 앱을 위한 보안 표준이자 포괄적인 테스트 가이드입니다. 이는 모바일 앱 보안 테스트에 사용되는 프로세스, 기술, 툴을 다루고, 테스터가 일관되고 포괄적인 결과를 도출하는 데 도움이 되는 철저한 테스트 사례 모음을 제공합니다.
• OWASP ModSecurity 핵심 룰 세트 는 ModSecurity 또는 호환 가능한 웹 애플리케이션 방화벽과 함께 사용할 수 있는 일반적인 공격 탐지 룰 세트입니다.
• 소프트웨어 보증 성숙도 모델 은 안전한 개발 라이프사이클을 분석하고 개선할 수 있는 효과적면서도 측정 가능한 방법을 제공합니다.
• 웹 보안 테스트 가이드 프로젝트 는 웹 애플리케이션 개발자와 보안 전문가를 위한 최고의 사이버 보안 테스트 리소스입니다.

기업과 보안팀은 OWASP 10대 보안 리스크 목록에서 실행 가능한 정보를 얻을 수 있습니다. 이 목록은 보안팀에게 중요한 체크리스트 역할을 하고 DevOps팀에게는 보안 표준 역할을 합니다. 감사자는 기업이 웹 애플리케이션 및 API 보안를 위한 모범 사례와 개발 표준을 준수하는지 평가할 때 이 목록을 사용합니다.