OWASP Top 10 2025 교육 과정

A01:2025 - 접근 제어 실패
A02:2025 - 보안 설정 오류
A03:2025 - 소프트웨어 공급망 실패
A04:2025 - 암호화 실패
A05:2025 - 인젝션
A06:2025 - 보안 설계 부족
A07:2025 - 인증 실패
A08:2025 - 소프트웨어 또는 데이터 무결성 실패
A09:2025 - 보안 로깅 및 알림 실패
A10:2025 - 예외 조건 처리 실패

A01:2025 접근 제어 실패 - 접근 제어는 사용자가 의도된 권한 범위를 벗어나 행동하지 못하도록 정책을 적용합니다. 실패 시 일반적으로 비인가 정보 노출, 수정 또는 파괴, 또는 사용자의 제한 범위 외에서 비즈니스 기능을 수행하는 등의 결과가 발생할 수 있습니다.

A02:2025 보안 설정 오류 - 보안 설정 오류는 시스템, 애플리케이션, 또는 클라우드 서비스가 보안 측면에서 잘못 구성되어 취약점이 발생하는 것을 의미합니다.

A03:2025 소프트웨어 공급망 실패 - 소프트웨어 공급망 실패는 소프트웨어를 빌드, 배포, 또는 업데이트하는 과정에서 발생한 결함이나 타사 코드, 도구, 기타 종속성의 취약점 또는 악의적인 변경으로 인해 발생합니다.

A04:2025 암호화 실패 - 일반적으로 모든 전송 데이터는 전송 계층(OSI 계층 4)에서 암호화되어야 합니다. 이전에는 CPU 성능과 개인 키/인증서 관리가 장애였지만, 이제는 CPU에 암호화를 가속하는 명령어(예: AES 지원)와 개인 키 및 인증서 관리를 단순화하는 서비스(LetsEncrypt.org)로 이를 해결할 수 있습니다. 특히 클라우드 공급업체들은 플랫폼별로 더욱 밀접하게 통합된 인증서 관리 서비스를 제공합니다. 전송 계층을 보안하는 것 외에도, 정지 상태의 데이터와 애플리케이션 계층(OSI 계층 7)에서 추가적으로 암호화가 필요한 데이터를 결정하는 것이 중요합니다. 예를 들어, 비밀번호, 신용카드 번호, 건강 기록, 개인 정보, 비즈니스 기밀 등은 특히 프라이버시 법률(EU의 일반 데이터 보호 규정(GDPR) 또는 PCI 데이터 보안 표준(PCI DSS))에 포함되는 경우 추가 보호가 필요합니다.

A05:2025 인젝션 - 인젝션 취약점은 공격자가 악의적인 코드 또는 명령(SQL 또는 쉘 코드)을 프로그램 입력 필드에 삽입하여, 시스템이 이를 시스템의 일부로 실행하도록 속이는 시스템 결함입니다. 이는 심각한 결과를 초래할 수 있습니다.

A06:2025 보안 설계 부족 - 보안 설계 부족은 "부족하거나 효과적인 제어 설계가 없는" 다양한 약점을 나타내는 넓은 범주의 카테고리입니다. 모든 다른 상위 10 위험 범주에 대한 원인이 아님을 유의하세요. 또한, 보안 설계 부족과 보안 구현 부족 사이에는 차이가 있습니다. 이들은 서로 다른 근본 원인을 가지고 있으며, 개발 과정에서 서로 다른 시기에 발생하며, 서로 다른 수정 방법이 필요합니다. 안전한 설계라도 구현 결함으로 인해 취약점이 발생할 수 있지만, 안전하지 않은 설계는 필요한 보안 제어가 생성되지 않아 특정 공격을 방어할 수 없습니다. 개발 중인 소프트웨어 또는 시스템에 대한 비즈니스 위험 프로파일링 부족은 보안 설계 부족의 원인이 될 수 있으며, 이로 인해 필요한 보안 설계 수준을 결정하지 못할 수 있습니다.

A07:2025 인증 실패 - 공격자가 시스템을 속여 잘못된 또는 올바르지 않은 사용자를 유효한 것으로 인식시키는 경우 이 취약점이 발생합니다.

A08:2025 소프트웨어 또는 데이터 무결성 실패 - 소프트웨어와 데이터 무결성 실패는 무효하거나 신뢰할 수 없는 코드나 데이터가 신뢰할 수 있고 유효한 것으로 취급되는 것을 방지하지 못하는 코드와 인프라에 관련됩니다. 예를 들어, 애플리케이션이 신뢰할 수 없는 소스, 저장소, 또는 콘텐츠 전송 네트워크(CDNs)에서 플러그인, 라이브러리, 모듈을 의존하는 경우가 있습니다. 보안 CI/CD 파이프라인이 소프트웨어 무결성 검사를 수행하지 않으면 비인가 접근, 불안전한 코드, 악의적인 코드, 시스템 탈취 등의 가능성을 초래할 수 있습니다. 이는 CI/CD 파이프라인이 신뢰할 수 없는 장소에서 코드 또는 아티팩트를 가져오거나 사용 전에 서명을 확인하는 등의 검증을 수행하지 않는 경우에도 적용됩니다.

A09:2025 보안 로깅 및 알림 실패 - 로깅과 모니터링이 없으면 공격과 위반을 감지할 수 없으며, 알림이 없으면 보안 사건 중 신속하고 효과적으로 대응하는 것이 매우 어려워집니다. 충분한 로깅, 지속적인 모니터링, 탐지, 및 활동적 응답에 대한 적절한 경보가 이루어지지 않는 경우 발생합니다.

A10:2025 예외 조건 처리 실패 - 소프트웨어에서 예외 조건을 처리하지 못하는 경우, 프로그램이 비정상적이고 예측할 수 없는 상황을 방지, 감지, 응답하지 못하여 크래시, 예상치 않은 동작, 때로는 취약점으로 이어질 수 있습니다. 이에는 다음 3가지 실패 중 하나 이상이 포함될 수 있습니다: 애플리케이션이 비정상적 상황을 방지하지 못하거나, 해당 상황이 발생하는 것을 식별하지 못하거나, 또는 상황 이후에 부적절하게 또는 전혀 응답하지 않는 것입니다.

우리는 다음과 같은 실제적인 측면들을 논의하고 제시할 것입니다:

접근 제어 실패
- 접근 제어 실패의 실제 사례
- 안전한 접근 제어 및 최선의 실천 방법

보안 설정 오류
- 실제적인 설정 오류 사례
- 설정 관리 및 자동화 도구를 활용하여 설정 오류를 예방하는 단계

암호화 실패
- 약한 암호화 알고리즘 또는 부적절한 키 관리를 포함한 암호화 실패의 상세 분석
- 강력한 암호화 메커니즘, 안전한 프로토콜(SSL/TLS), 및 웹 보안에서 현대적인 암호화의 예

인젝션 공격
- SQL, NoSQL, OS, LDAP 인젝션의 상세 분석
- 준비된 문, 매개변수화된 쿼리, 입력 값 탈출을 활용한 완화 기술

보안 설계 부족
- 취약점을 초래할 수 있는 디자인 결함, 예를 들어 부적절한 입력 검증
- 안전한 아키텍처와 보안 설계 원칙에 대한 전략 연구

인증 실패
- 일반적인 인증 문제점
- 다단계 인증, 적절한 세션 관리 등의 안전한 인증 전략

소프트웨어 및 데이터 무결성 실패
- 신뢰할 수 없는 소프트웨어 업데이트와 데이터 변조 등의 이슈에 집중
- 안전한 업데이트 메커니즘과 데이터 무결성 검사

보안 로깅 및 모니터링 실패
- 보안 관련 정보의 로깅과 의심스러운 활동에 대한 모니터링의 중요성
- 조기에 위반을 감지하기 위한 적절한 로깅과 실시간 모니터링 도구 및 방법