출저 : https://blog.lgcns.com/2857?category=515093
이번 글에서는 4년 만에 다시 공개된 OWASP TOP 10 (2021)에서 변동된 취약점 우선순위를 살펴보고, 두 항목을 비교해보도록 하겠습니다. 마지막으로 안전한 소프트웨어 개발 시 주의 깊게 봐야 할 소프트웨어 보안 약점(취약점)은 무엇이 있는지 정리해보겠습니다.
‘OWASP TOP 10’은 OWASP에서 3~4년에 한 번씩 비정기적으로 발표하는 문서인데요. 가장 많이 익스플로잇 되는 취약점 유형이 무엇인지 순위대로 정리한 것입니다. 2021년 9월, 4년 만에 초안이 발표됐습니다. 아직 최종본은 아니지만, 특이점들에 대해 미리 살펴보겠습니다.
2017년 발표된 항목 대비 추가 및 변동된 순위를 보면 아래와 같습니다.
(출처 : OWASP, owasp.org/www-project-top-ten)
2021년 항목에 3개의 신규 항목이 추가됐으며, 2017년 항목 중 4개 항목이 이름과 범위가 변경되고, 그 외 일부 통합되며 순위 변동이 일어난 것이 눈에 띕니다.
1위를 차지한 ‘취약한 접근통제’와 함께, ‘암호화 오류’, ‘인젝션’ 항목이 웹 애플리케이션에서 가장 빈번하게 나타나는 취약점 1~3위를 차지했으며, ‘크로스 사이트 스크립팅’이 ‘인젝션’ 항목으로 통합됐습니다.
신규 추가됐으나 4위를 차지한 ‘안전하지 않은 설계’ 항목은 소프트웨어 개발 보안 생명주기(Secure Software Development Lifecycle)의 설계 단계에서 위협 모델링 없이 구현되거나 미흡하게 설계돼 발생하는 보안 취약점을 설명하고 있습니다.
다음으로 5위인 ‘잘못된 보안 구성’ 항목은 ‘XML 외부객체’ 항목이 통합됐고, 6위 ‘오래된 취약점이 있는 구성요소 사용’, 7위 ‘사용자 식별 및 인증 오류’, 9위 ‘보안로그 및 모니터링 오류’ 항목은 이름이 변경되며 취약점이 더 명확해지고 범위가 넓어졌습니다.
8위에 오른 신규 추가된 ‘소프트웨어와 데이터 무결성 오류’에는 ‘안전하지 않은 역직렬화’ 항목을 포함해 데이터 무결성 검증을 위한 올바른 전자서명 활용에 관한 내용도 설명하고 있습니다.
마지막으로 ‘서버측 요청 위조’ 항목이 10위에 올랐는데요. 앞서 살펴본 행정안전부의 소프트웨어 개발 보안 항목, [1. 입력데이터 검증 및 표현] 영역의 ’12. 서버사이드 요청 위조’와 동일한 것으로, 새롭게 순위에 오른 만큼 더욱 주의해야 할 취약점이 됐습니다.
아래 표는 앞서 살펴본 소프트웨어 개발 보안 구현단계에서의 49개 보안 약점(이하 49개 보안 약점이라 함)과 OWASP TOP 10 (2021) 초안을 비교한 것입니다. OWASP TOP 10에서 설명하는 각 취약점 영역의 범위가 넓어 49개 보안 약점이 상당수 중복됐는데요. A09:2021 ‘보안로그 및 모니터링 오류’ 취약점의 경우 주로 테스트 및 운영 단계에서 서버 보안 설정 또는 주기적인 점검이 필요한 취약점을 설명한 것입니다.
이는 49개 보안 약점과 연결되지는 않았으나, 구현단계에서부터 개인정보 보호법 등 관련 법에 따라 접속기록 보관을 하는 등의 주의가 필요하므로, 역시 주요한 취약점입니다.
최근 제로데이 공격, 웹사이트 해킹 등의 보안패치 발표 전에 소프트웨어에 내재된 보안취약점을 악용하는 사이버공격이 꾸준히 증가하고 있습니다. 안전한 정보시스템 구축을 위해 보안 담당자와 개발자 등은 이를 대비해 최신 보안 방안이 반영된 소프트웨어 개발 보안 가이드 및 OWASP TOP 10을 참고해 시큐어 코딩(Secure Coding)을 적용해야 합니다. 또한, 주기적인 취약점 점검 및 개선 활동을 수행해야 합니다.
[참고] https://www.law.go.kr/행정규칙/행정기관및공공기관정보시스템구축·운영지침 owasp.org/www-project-top-ten |
글 | LG CNS 사이버시큐리티팀 조민아 책임
*해당 콘텐츠는 저작권법에 의해 보호받는 저작물로 LG CNS 블로그에 저작권이 있습니다.
*해당 콘텐츠는 사전 동의없이 2차 가공 및 영리적인 이용을 금하고 있습니다.
출저 : https://blog.lgcns.com/2857?category=515093
'IT NEWS > 보안' 카테고리의 다른 글
[ 보안 ] 유튜브 해킹 Youtube Vanced 해킹 ( 유튜브 슈퍼챗 피싱 / 신용카드 피싱) (0) | 2022.07.30 |
---|---|
[ LG CNS ] IT Solutions[보안동향] 공공 클라우드 보안 이슈 점검하고, DX 경쟁력을 높이세요! (0) | 2022.04.28 |
[ LG CNS ] [보안동향] 신용카드IC칩까지 공격하는 부채널 분석, 그 해법은? (0) | 2021.10.01 |
[LG CNS] 산업현장 해킹? 프로토콜 알아야 ICS 보안 지킨다! (0) | 2021.09.14 |