취약점 관리자들의 중요 참고 문건인 OWASP Top 10 초안 발표돼

2021-09-16 17:12
  • 카카오톡
  • url
올해 OWASP은 최신화 된 Top 10 취약점 목록을 발표하기로 하고 이번 주 초안부터 공개했다. 취약점의 항목을 정의하는 부분에서 지난 버전과의 차이를 보이고 있으며, 그에 따라 순위에도 변동이 있었다. 다행히 중요한 건 순위가 아니라 10위에 포함된 모든 취약점들이다.

[보안뉴스 문가용 기자] 오픈 웹 애플리케이션 보안 프로젝트(Open Web Application Security Project, OWASP)가 최고의 웹 애플리케이션 보안 위협 목록을 갱신해 새롭게 발표했다. 보안 업계에서는 꽤나 중요한 문건인 ‘OWASP Top 10 취약점’이다. 아직 초안인 상태이긴 하지만 전 버전에 비해 적잖은 변경점이 눈에 띈다.


[이미지 = utoimage]

OWASP의 Top 10 취약점은 3~4년에 한 번씩 비정기적으로 발표되는 문서로, 가장 많이 익스플로잇 되는 취약점들의 유형이 무엇인지 순서대로 정리한 것이다. 이번 주 발표된 초안의 경우 전체 취약점의 약 1/5을 차지하고 그동안 계속해서 상위권에 이름을 올렸던 XSS 취약점이 사라진 사실이 가장 충격적이다. 하지만 사라진 게 아니라 ‘주입(Injection) 오류’라는 항목에 포함되는 식으로 재분류가 된 것이다. XSS 공격은 여전히 가장 빈번한 취약점 중 하나다.

이번 버전에 새롭게 추가된 취약점 항목들도 눈에 띈다. 그 중 하나는 ‘불안전한 설계(Insecure Design)’라는 항목으로 처음 등장했음에도 4위에 이름을 올렸다. 1~3위를 차지한 위협들은 순서대로 ‘잘못된 접근 제어’, ‘암호화 오류’, ‘주입 오류’다. ‘잘못된 접근 제어’와 ‘주입 오류’는 애플리케이션 실험에서 가장 빈번하게 나타나는 위협이고 ‘암호화 오류’는 조직들이 가장 많이 간과하는 오류 중 하나이며 심각한 데이터 침해 사건으로 이어질 가능성이 높다고 OWASP은 설명하고 있다. 이런 팁들은 조직마다 상황이 다르다고 해도 참고해볼 만하다.

‘주입 오류’는 2017년에 발표된 OWASP Top 10 목록에 1위를 차지했었다. 당시에는 주입 오류의 범위가 좁아 XSS를 포함하지 않고 있었다. 당시 3위였던 ‘민감 정보 노출’은 올해 ‘암호화 오류’의 일종으로서 새롭게 분류됐다. 당시 2위였던 건 ‘잘못된 인증 원리’였는데, 이번에는 7위에 배치됐다. 이름은 ‘식별 및 인증 실패’로 바뀌었다.

물론 순위가 높을수록 웹 환경에 보다 자주 등장하는 취약점이긴 하지만 Top 10에 속할 정도면 1위든 10위든 한 결 같이 중요하다는 게 보안 전문가들의 설명이다. 보안 업체 시놉시스(Synopsys)의 수석 전략가인 조나단 크누센(Jonathan Knudsen)은 “목록에 있는 10가지 유형의 취약점 모두에 대한 대책을 마련하는 실천이 뒤따라야 이 목록이 진정한 가치를 발하게 된다”는 의견이다. “목록이 작성되고 발표되었다는 건, 시작에 불과할 뿐입니다. 이걸 가지고 ‘액션 플랜’을 짜는 것이 필수입니다.”

또 중요한 건 이 목록에 있는 취약점들에만 신경을 쓰지 않는 것이다. 크누센은 다음과 같이 설명한다. “애플리케이션 보안 전문가 아무나 잡고 ‘가장 위험한 취약점이 무엇인가요?’라고 물어보면 제각각의 답이 나올 겁니다. 각 조직마다, 그리고 담당자마다 입장이 다르고, 따라서 ‘가장 위험하다’고 느끼는 게 다를 수밖에 없습니다. 또한 취약점의 위험도를 평가하는 방법론이 모두 개발된 것도 아닙니다. OWASP의 목록은 중요한 위협들을 꼽는 여러 방법 중 하나일 뿐이고, 따라서 조직에 따라 전혀 다른 시각을 가질 수 있습니다. 따라서 취약점 관리에 있어 참고할 만한 중요 문건인 건 맞지만 절대적 진리를 가진 유일무이한 ‘바이블’은 아닙니다.”

보안 업체 K2 사이버 시큐리티(K2 Cyber Security)의 CTO인 제이언트 슈클라(Jayant Shukla)는 “정적 분석 기법으로는 탐지되지 않는 위협들도 수두룩하다”며 “OWASP의 Top 10 목록이 중요하다는 데는 동의하지만 이것 하나에 모든 위협들이 온전히 정리되어 있다고 보지는 않는다”는 것을 강조하기도 한다. “수많은 전문가들이 눈을 부릅뜨고 실험해도 놓치는 취약점들이 얼마나 많은지 알면 깜짝 놀랄 겁니다. 순전히 운으로 발견하는 취약점들도 대단히 많고요. 따라서 OWASP 취약점 목록을 기본 바탕에 깐 상태에서 능동적 취약점 관리 체계를 유지하는 것이 중요합니다.”

초안은 OWASP의 블로그(https://owasp.org/Top10/)를 통해 확인이 가능하다.

3줄 요약
1. OWASP, 올해의 Top 10 취약점 목록 발표함.
2. 아직은 초안 상태라 더 많은 피드백 거친 후 최종본 발표할 것으로 보임.
3. 취약점 항목의 정의가 바뀌면서 순위 변동 일어난 것이 눈에 띔.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 유니뷰코리아

    • 인콘
      통합관제 / 소방방재

    • 비티에스

    • 이노뎁

    • 아이브스

    • 아이디스

    • 유니뷰코리아

    • 웹게이트

    • 한화시스템

    • 하이크비전코리아

    • 그린아이티코리아
      번호인식 카메라

    • 한화테크윈
      CCTV 카메라 / 영상감..

    • ZKTeco
      ProFace X

    • 원우이엔지
      줌카메라

    • 한일에스티엠

    • 현대틸스
      팬틸트 / 카메라

    • 지오멕스소프트
      XEUS 통합플랫폼

    • 이화트론

    • 에이치엔시큐리티(주)

    • 테크스피어
      손혈관 / 차량하부 검색기

    • 비전정보통신

    • 경인씨엔에스
      CCTV / 자동복구장치

    • 슈프리마
      출입통제 / 얼굴인식

    • 다후아테크놀로지코리아

    • 다누시스

    • 엔토스정보통신

    • ITX_AI

    • Tiandy

    • 성현시스템

    • 씨엠아이텍

    • 쿠도커뮤니케이션
      인공지능 영상분석

    • 대경무선통신
      재난경보시스템 IP방송 경..

    • 아이쓰리시스템(주)

    • (주)동양유니텍

    • (주)투윈스컴

    • A3시큐리티

    • CVT

    • AIS테크놀러지

    • (주)씨유박스

    • 이오씨

    • (주)에펠

    • (주)우경정보기술

    • 디비시스
      CCTV토탈솔루션

    • 트루엔
      IP 카메라 / 인공지능 ..

    • 보쉬빌딩테크놀러지

    • 주식회사 비앤에스

    • (주)디지탈센스

    • 티에스아이솔루션
      출입 통제 솔루션

    • (주)넥스트림

    • 오피어(Ophir)

    • AhnLab

    • 신우테크
      팬틸드 / 하우징

    • (주)에프에스네트웍스

    • (주)에이앤티코리아

    • 케이제이테크
      지문 / 얼굴 출입 통제기

    • (주)케이엠티

    • (주)알에프코리아

    • 사라다

    • 아이엔아이
      울타리 침입 감지 시스템

    • 새눈
      CCTV 상태관리 솔루션

    • (주)모스타

    • 수퍼락
      출입통제시스템

    • 태정이엔지
      CCTV 스마트폴 / 함체..

    • NS게이트(주)

    • 다원테크

    • 구네보코리아주식회사

    • (주)일산정밀

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 두레옵트로닉스
      카메라 렌즈

    • 플랜비

    • 주식회사 에스카

    • 포커스테크

    • (주)네이즈

    • (주)에이앤티글로벌

    • 대산시큐리티
      CCTV 폴 / 함체 / ..

    • 포커스에이치앤에스
      지능형 / 카메라

    • 지엘에스이

    • 글로넥스
      카드리더 / 데드볼트

    • (주)이스트컨트롤

    • 메트로게이트
      시큐리티 게이트

    • 이후커뮤니케이션

    • 세환엠에스(주)

    • 유진시스템코리아
      팬틸트 / 하우징

    • 카티스
      출입통제 / 외곽경비

    • (주)유니온커뮤니티

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

PC버전

닫기