OWASP Top 10 2021 인포그래픽
OWASP 상위 10개:
새로운 위험의 물결
소개
오늘날의 디지털 경제는 최신 앱과 아키텍처, 멀티 클라우드 배포, 소프트웨어 공급망 및 CI/CD 파이프라인을 포함한 타사 통합에 의존하기 때문에 공격자에게 기회가 폭발적으로 늘어났습니다. 2021년 OWASP 상위 10대 보안 지침은 애플리케이션 설계 및 구현에서 보안을 개선하기 위한 필독 지침으로서 새로운 위험의 물결을 다룹니다.
20년 만에 가장 중요한 업데이트
2003년에 처음 발표된 OWASP Top 10은 웹 애플리케이션의 가장 심각한 보안 위험에 대한 폭넓은 합의를 나타냅니다. 20년 동안 최고 위험은 크게 변하지 않았지만 2021년 업데이트에서는 세 가지 주제 영역에서 애플리케이션 위험을 해결하는 중요한 변경 사항이 있습니다.
침해의 가장 큰 원인은 무엇입니까?
접근 공격
"액세스 공격, 즉 사용자 대면 인증 표면에 대한 공격이 침해의 가장 빈번한 원인이었습니다."1
— 2022년 애플리케이션 보호 보고서: 탈출을 예상하다
2021년의 새로운 소식
OWASP Top 10 업데이트에 영향을 준 주요 요소는 다음과 같습니다.
2017
기존 웹 애플리케이션에 집중
소규모 데이터 세트(30개 CWE의 지정된 하위 세트)
다양한 위험 요소, 기술적/사업적 영향
20년 이상 최고의 위험으로 꼽힌 주사
2021
현대 건축으로의 전환
400개의 CWE를 사용한 데이터 기반 프로세스
증상과 근본 원인을 중심으로 재분류
새로운 위험의 물결: 안전하지 않은 설계와 구현
2021년 OWASP 상위 10대 보안 위험
A01
깨진 액세스 제어
A02
암호화 실패
A03
주사
A04
안전하지 않은 디자인
A05
보안 오류
A6
취약하고 오래된 구성 요소
A7
식별 및 인증 실패
A8
소프트웨어 및 데이터 무결성 실패
A9
보안 로깅 및 모니터링 실패
A10
서버 측 요청 위조(SSRF)
주제 #1
근본 원인에 맞춰진 증상
무엇이 바뀌었나요?
OWASP 상위 10대 위험은 일반적인 취약점 목록(CWE)에 매핑되며, 이는 종종 취약점 악용이 됩니다. 하지만 이전 OWASP 데이터 수집은 30가지의 CWE에 초점을 맞추었으며, 이전 목록에서는 근본 원인을 나타내는 CWE와 다양한 잠재적 원인을 지닌 증상적 약점을 나타내는 CWE를 크게 구분하지 않았습니다. 2021년 목록에는 400개의 CWE가 반영되어 더 광범위한 분석이 가능해졌습니다.
2017년: 징후
A3:2017
민감한 데이터 노출
A7:2017
크로스 사이트 스크립팅(XSS)
A4:2017
XML 외부 엔터티(XXE)
A9:2017
알려진 취약점이 있는 구성 요소 사용
A8:2017
안전하지 않은 역직렬화
A10:2017
불충분한 로깅 및 모니터링
2021년: 근본 원인
A02:2021
암호화 실패
A03:2021
주입
A05:2021
보안 오류
A06:2021
취약하고 오래된 구성 요소
오전 8시 2021분
소프트웨어 및 데이터 무결성 실패
오전 9시 2021분
보안 로깅 및 모니터링 실패
왜 중요한가요?
2021년 목록은 증상을 기본적인 원인에 더 잘 맞춰 보안 팀이 위험을 근원에서 줄이는 데 집중할 수 있도록 돕습니다.
클라우드 침해의 가장 큰 원인은 무엇입니까?
보안 오류 구성
"우리가 여러분에게 바라는 것은 증상에 반창고를 붙이려고 하기보다는 실제로 그 근본 원인과 여러분이 그것에 대해 할 수 있는 일을 생각하는 것입니다."2
—Andrew van der Stock, OWASP Foundation의 전무이사
주제 #2
새로운 위험 범주
무엇이 바뀌었나요?
세 가지 새로운 위험 범주는 애플리케이션 설계 초기부터 보안을 해결하고 보안을 소프트웨어 수명 주기의 일부로 삼을 필요성을 강조합니다.
A04: 2021
안전하지 않은 디자인
A08: 2021
소프트웨어 및 데이터 무결성 실패
A10: 2021
서버 측 요청 위조
왜 중요한가요?
최근 log4j2 취약점이 공개되면서 오픈소스 소프트웨어 악용의 중요성이 부각되었습니다. log4j2 로깅 유틸리티의 취약점은 OWASP 상위 10대 위험 범주 두 개에 해당하며, 실제 악용이 가능한 CVE는 주입, 소프트웨어 및 데이터 무결성 실패, 취약하고 오래된 구성 요소라는 세 가지 위험 요소를 포함합니다.
그림 1 : 오픈소스 Apache Log4j2 로깅 유틸리티의 Log4Shell 익스플로잇은 여러 위험 범주에 걸친 공격의 한 예입니다. 메시지 조회 대체가 활성화된 경우 LDAP 서버에서 로드된 임의의 코드를 실행할 수 있습니다.
"안전한 설계에도 구현상의 결함이 있을 수 있으며, 이로 인해 악용될 수 있는 취약점이 발생할 수 있습니다."
—OWASP 2021년 상위 10개
주제 #3
최신 앱 및 아키텍처 보호
무엇이 바뀌었나요?
클라우드 배포, 컨테이너화, 모바일 앱, API와 타사 통합의 확산을 통해 애플리케이션 아키텍처가 발전했습니다. 로그인 페이지, 쇼핑 카트 및 기타 비즈니스 로직은 결함이 아니지만 본질적으로 남용에 취약합니다. 2021년 OWASP 10대 보안 지침은 새로운 세계 질서 속에서 사전적이고 예방적인 보안을 위한 지침을 제공합니다.
그림 2 : 어제의 모범 사례는 오늘날의 분산된 현대 애플리케이션과 아키텍처에 충분하지 않습니다.
왜 중요한가요?
보안은 안전한 CI/CD 파이프라인, 구성 요소 인벤토리, 위협 모델링, 건전한 위험 관리를 포함하여 애플리케이션 개발 프로세스 전반에 통합되어야 합니다. 최신 OWASP Top 10은 보안과 AppDev/DevOps 전문가를 위한 리소스를 제공하며, 보안을 기본 설계 원칙으로 더욱 전환하기 위해 노력하고 있습니다.
1 F5 2022 애플리케이션 보호 보고서.
2 반 더 스톡, 앤드류, OWASP Top 10 , YouTube. 2021년 10월 8일.
더 알아보기
보고서
F5 Labs 2022 애플리케이션 보호 보고서
지난 한 해 동안 위협이 어떻게 진화했는지 알아보고 최신 공격을 막기 위해 보안 방어를 어떻게 조정할 수 있는지 알아보세요.
전자책
2021 OWASP Top 10: 새로운 위험의 물결
OWASP Top 10을 보다 안전한 개발 및 더 나은 애플리케이션 보안의 기반으로 사용하는 방법을 알아보세요.
웨비나
OWASP Top 10 2021: 새로운 위험 명령
OWASP Top 10에서 어떤 변화가 있었는지 확인하고 F5 Distributed Cloud WAAP와 같은 솔루션이 어떻게 이러한 위험을 완화하는지 살펴보세요.
솔루션 시뮬레이터
F5 분산 클라우드 웹 앱 및 API 보호(WAAP)
어디에서 실행되든 애플리케이션을 위한 종합적인 서비스형 보호에 대한 대화형 데모를 살펴보세요.
동영상
2021 OWASP Top 10 Lightboard 레슨 비디오 시리즈
새로운 OWASP Top 10 웹 애플리케이션 보안 위험에 대한 자세한 분석을 받아보세요.