[1편] OWASP TOP 10

 

웹 애플리케이션 보안을 공부하면서 가장 먼저 익혀야 할 개념은 단연 OWASP TOP10이다. 

이글에서는 2021년 기준으로 발표된 OWASP TOP10 항목들을 이론 중심으로 정리하고, 각 항목별 대응 방안도 함께 정리하였다. 

 

 

---

1. OWASP란? 

OWASP(Open Web Application Security Project)는 웹 보안을 표준화하고 향상하기 위한 글로벌 비영리 프로젝트이다.

가장 잘 알려진 프로젝트는 OWASP TOP10으로, 전 세계에서 실제로 발생한 취약점 데이터를 바탕으로 가장 흔하고 위험한 보안 이슈 10가지를 선정하여 발표한다. 

 

공식 링크 : https://owasp.org/www-project-top-ten/

OWASP Top Ten | OWASP Foundation

 

 

---

2. 2021 OWASP TOP 10 항목 및 대응 방안 요약

 

항목	설명	대응 방안
A01 - Broken Access Control	권한 없는 사용자가 중요한 리소스에 접근 가능	역할 기반 접근 제어(RBAC), 서버 측 권한 검증 필수, 기능별 인증 분리
A02 - Cryptographic Failures	암호화 미흡으로 데이터 노출	TLS 1.2 이상 사용, 민감한 정보는 저장 전 암호화, 키 관리 체계 구축
A03 - Injection	SQL, XSS 등 외부 입력이 코드로 실행됨.	Prepared Statement 사용, 입력값 검증 및 인코딩, WAF 활용
A04 - Insecure Design	설계 단계부터 보안이 빠져있음.	위협 모델링, 보안 설계 패턴 적용, Secure SDLC 도입
A05 - Security Misconfiguration	서버/프레임워크 설정 미흡	사용하지 않는 기능 비활성화, 디폴트 계정 제거, 보안 가이드라인 적용
A06 - Vulnerable & Outdated Components	오래되거나 알려진 취약점 있는 소프트웨어 사용	주기적인 패치 관리, 자동화된 취약점 스캐너 사용.
A07 - Identification & Authentication Failures	인증 우회, 세션 탈취 등	강력한 패스워드 정책, Multi-Factor Authentication, 세션 타임아웃 설정
A08 - Software & Data Integrity Failures	업데이트/데이터 변조 가능성 존재	소프트웨어 서명 검증, CI/CD 보안 점검, 무결성 체크 적용
A09 - Security Logging & Monitoring Failures	이상 징후 탐지 불가	중앙 로깅 시스템 구축, 이상 징후 알림 설정, 로그 접근 통제
A10 - Server-Side Request Forgery (SSRF)	서버가 공격자 요청을 대신 실행	외부 요청 제한, allow-list 방식 적용, 메타 데이터 접근 차단

 

---

3. 마무리

OWASP  TOP 10은 웹 보안의 뼈대라고 할 수 있다.

각 항목은 단순히 위험하다는 경고 수준이 아니라, 실제로 기업의 보안 사고로 직결된 실제 예시들이기 때문에 대응 방법까지 모두 알고 있어야 한다. 

 

다음 2편에서는 Injection 취약점 중 하나인 HTML  Injection과 XSS 실습을 진행할 예정이다. 

 

 

다음 글 보러가기

 

 

 

이 블로그는 불법 해킹 및 악의적인 활동을 지양하며, 그런 행위는 절대 권장하지 않습니다.

모든 실습은 허가된 환경에서만 진행해야 하며, 법적 책임은 사용자 본인에게 있습니다.