비영리재단인 OWASP(The Open Web Application Security Project)는 2021년 새로운 애플리케이션 보안 위협 10가지를 발표했다.
3개의 항목이 새롭게 추가 되었고, 4개의 항목에서 범위 및 새로운 이름으로 변경된 것들이 존재한다.
2017 | 2021 |
A1. Injection | A1. Broken Access Control |
A2. Broken Authentication | A2. Cryptographic Failures |
A3. Sensitive Data Exposure | A3. Injection |
A4. XML External Entities (XXE) | A4. Insecure Design |
A5. Broken Access Control | A5. Security Misconfiguration |
A6. Security Misconfiguration | A6. Vulnerable and Outdated Components |
A7. Cross-Site Scripting | A7. Identification and Authentication Failures |
A8. Insecure Deserialization | A8. Software and Data Integrity Failures |
A9. Using Components with Known Vulnerabilities | A9. Security Logging and Monitoring Failures |
A10. Insufficient Logging & Monitoring | A10. Server-Side Request Forgery |
[표 1] OWASP Top 10 카테고리 변화 리스트
2021년 Top 10에서 변경된 사항
[그림 1] OWASP Top 10 카테고리 변화 (출처 : OWASP)
- A01:2021-Broken Access Control (취약한 접근 통제)
2017에서 A05번에 위치하던 Broken Access Control(취약한 접근 통제)이 4단계 상승하여 첫 번째 위치(A01)로 이동했다. 기존에는 하나의 서비스에서 접근통제를 담당하였지만, 기능이 분할되면서 접근 통제에 어려움이 존재하기 때문에 첫 번째 위치로 이동한 것으로 보인다. 또한, 34개의 매핑된 CWE가 다른 항목들에 비해 더 많은 애플리케이션에서 취약점이 발생했다고 보고되었다.
- A02:2021-Cryptographic Failures (암호학적 실패)
2017에서 A03번에 위치하던 Sensitive Data Exposure(민감 데이터 노출) 항목이 Cryptographic Failures (암호학적 실패)라는 이름으로 변경되었으며, 해당 항목은 1단계 상승하여 두 번째 위치(A02)로 이동했다. OWASP에서는 2017년에 존재하였던 민감 데이터 노출에 대한 새로운 초점으로 민감 데이터 노출 또는 시스템 손상으로 이어지는 부분에 암호화 실패와 관련된 사례가 많다고 보고있다.
- A03:2021-Injection (인젝션)
OWASP Top 10 – 2017에서 A01번에 위치하던 Injection(인젝션)이 2단계 하락하여 세 번째 위치(A03)로 이동했다. 2017년에 존재하였던 A1 – Injection 과 A7 – Cross Site Scripting(XSS)이 통합되었다. 총 33개의 CWE와 매핑이 되었고, 애플리케이션에서 Broken Access Control 항목에 이어서 두 번째로 많은 취약점이 발현 되었다.
- A04:2021-Insecure Design (안전하지 않은 설계)
Insecure Design 항목은 OWASP Top 10 – 2017에서는 존재하지 않았던 새로운 항목이다. 기획 단계와 애플리케이션 설계 과정에서의 보안사항 준수를 의미하고 있으며, 설계 과정에서 발생하는 보안적인 결함을 의미한다.
- A05:2021-Security Misconfiguration (보안 오류 설정)
OWASP Top 10 – 2017에서 A06번에 위치하던 Security Misconfiguration(보안 오류 설정) 항목이 A04번 XML External Entities(XXE)항목과 통합되었고, 이로 인하여 한 단계 상승하여 다섯 번째 위치(A05)로 이동했다. 애플리케이션의 90%가 잘못된 구성에 대해 테스트가 진행되었고, 개방된 클라우드 스토리지, 잘못 구성된 HTTP 헤더 및 민감한 정보가 포함된 에러 메시지로 인하여 보안에 취약한 곳이 알려질 수 있다.
- A06:2021-Vulnerable and Outdated Components
(취약하고 오래된 컴포넌트)
OWASP Top 10 – 2017에서A09번 위치하던Using Components with Known Vulnerabilities(알려진 취약점이 있는 구성요소 사용) 항목이 Vulnerable and Outdated Components(취약하고 오래된 컴포넌트)라는 이름으로 변경되었으며, 해당 항목은 3단계 상승하여 여섯 번째 위치(A06)로 이동했다.
CWE(Common Vulnerability and Exposures)가 포함된 CWE에 매핑되지 않은 유일한 카테고리이므로 기본 익스플로잇 및 영향 가중치 5.0이 점수에 반영됐다.
- A07:2021-Identification and Authentication Failures
(식별 및 인증 실패)
OWASP Top 10 – 2017에서 A02에 위치하던 Broken Authentication(취약한 인증)항목이 Identification and Authentication Failures(식별 및 인증 실패)라는 이름으로 변경되었으며, 해당 항목은 다섯 단계 하락하여 일곱 번째 위치(A07)로 이동했다.
- A08:2021-Software and Data Integrity Failures
(소프트웨어와 데이터 무결성 실패)
OWASP Top 10 – 2017에서 존재하지 않았던 항목 존재하지 않았던 새로운 항목이며, 2017년에 존재했던 Insecure Deserialization(안전하지 않는 역직렬화)가 해당 항목에 포함되었다.
이 범주의 10개 CWE에 매핑된 CVE/CVSS(Common Vulnerability and Exposures/Common Vulnerability Scoring System) 데이터에서 가장 가중치가 높은 영향 중 하나이다.
- A09:2021-Security Logging and Monitoring Failures
(보안 로깅과 모니터링 실패)
OWASP Top 10 – 2017에서 A10번에 위치하던 Insufficient Logging & Monitoring(불충분한 로깅과 모니터링)항목으로 이름이 새롭게 변경되었다. 해당 항목은 보안 업계 설문조사에서 3위를 차지하였고, 이로 인하여 한단계 상승하며 아홉 번째 위치 (A09)로 이동하였다. 이 범주는 더 많은 유형의 실패를 포함하도록 확장되고 테스트하기 어렵고 CVE/CVSS 데이터에 잘 표시되지 않는다 그러나 이 범주의 오류는 가시성, 사고 경고 및 포렌식에 직접적인 영향을 줄 수 있다.
- A10:2021-Server-Side Request Forgery (서버 사이드 요청 변조)
OWASP Top 10 – 2017에는 존재하지 않았던 항목이고, 보안 업계 설문조사에서 1위를 차지하며 새롭게 추가된 항목이다. 데이터는 평균 이상의 테스트 범위와 함께 상대적으로 낮은 발생률과 익스플로잇 및 영향 가능성에 대한 평균 이상의 등급을 보여진다. 이 범주는 현재 데이터에 설명되어 있지 않지만 방화벽(WAF), 네트워크 ACL이 보호하고 있는 시스템을 SSRF을 통해 공격가능하며 관련된 시나리오가 존재하고 다양한 취약점이 발현될 수 있다.
참고자료
[1] OWASP Top 10:2021 (DRAFT FOR PEER REVIEW)
https://owasp.org/Top10/
[표 1] OWASP Top 10 카테고리 변화 리스트
2021년 Top 10에서 변경된 사항
[그림 1] OWASP Top 10 카테고리 변화 (출처 : OWASP)
- A01:2021-Broken Access Control (취약한 접근 통제)
2017에서 A05번에 위치하던 Broken Access Control(취약한 접근 통제)이 4단계 상승하여 첫 번째 위치(A01)로 이동했다. 기존에는 하나의 서비스에서 접근통제를 담당하였지만, 기능이 분할되면서 접근 통제에 어려움이 존재하기 때문에 첫 번째 위치로 이동한 것으로 보인다. 또한, 34개의 매핑된 CWE가 다른 항목들에 비해 더 많은 애플리케이션에서 취약점이 발생했다고 보고되었다.
- A02:2021-Cryptographic Failures (암호학적 실패)
2017에서 A03번에 위치하던 Sensitive Data Exposure(민감 데이터 노출) 항목이 Cryptographic Failures (암호학적 실패)라는 이름으로 변경되었으며, 해당 항목은 1단계 상승하여 두 번째 위치(A02)로 이동했다. OWASP에서는 2017년에 존재하였던 민감 데이터 노출에 대한 새로운 초점으로 민감 데이터 노출 또는 시스템 손상으로 이어지는 부분에 암호화 실패와 관련된 사례가 많다고 보고있다.
- A03:2021-Injection (인젝션)
OWASP Top 10 – 2017에서 A01번에 위치하던 Injection(인젝션)이 2단계 하락하여 세 번째 위치(A03)로 이동했다. 2017년에 존재하였던 A1 – Injection 과 A7 – Cross Site Scripting(XSS)이 통합되었다. 총 33개의 CWE와 매핑이 되었고, 애플리케이션에서 Broken Access Control 항목에 이어서 두 번째로 많은 취약점이 발현 되었다.
- A04:2021-Insecure Design (안전하지 않은 설계)
Insecure Design 항목은 OWASP Top 10 – 2017에서는 존재하지 않았던 새로운 항목이다. 기획 단계와 애플리케이션 설계 과정에서의 보안사항 준수를 의미하고 있으며, 설계 과정에서 발생하는 보안적인 결함을 의미한다. - A05:2021-Security Misconfiguration (보안 오류 설정)
OWASP Top 10 – 2017에서 A06번에 위치하던 Security Misconfiguration(보안 오류 설정) 항목이 A04번 XML External Entities(XXE)항목과 통합되었고, 이로 인하여 한 단계 상승하여 다섯 번째 위치(A05)로 이동했다. 애플리케이션의 90%가 잘못된 구성에 대해 테스트가 진행되었고, 개방된 클라우드 스토리지, 잘못 구성된 HTTP 헤더 및 민감한 정보가 포함된 에러 메시지로 인하여 보안에 취약한 곳이 알려질 수 있다.
- A06:2021-Vulnerable and Outdated Components
(취약하고 오래된 컴포넌트)
OWASP Top 10 – 2017에서A09번 위치하던Using Components with Known Vulnerabilities(알려진 취약점이 있는 구성요소 사용) 항목이 Vulnerable and Outdated Components(취약하고 오래된 컴포넌트)라는 이름으로 변경되었으며, 해당 항목은 3단계 상승하여 여섯 번째 위치(A06)로 이동했다.
CWE(Common Vulnerability and Exposures)가 포함된 CWE에 매핑되지 않은 유일한 카테고리이므로 기본 익스플로잇 및 영향 가중치 5.0이 점수에 반영됐다.
- A07:2021-Identification and Authentication Failures
(식별 및 인증 실패)
OWASP Top 10 – 2017에서 A02에 위치하던 Broken Authentication(취약한 인증)항목이 Identification and Authentication Failures(식별 및 인증 실패)라는 이름으로 변경되었으며, 해당 항목은 다섯 단계 하락하여 일곱 번째 위치(A07)로 이동했다.
- A08:2021-Software and Data Integrity Failures
(소프트웨어와 데이터 무결성 실패)
OWASP Top 10 – 2017에서 존재하지 않았던 항목 존재하지 않았던 새로운 항목이며, 2017년에 존재했던 Insecure Deserialization(안전하지 않는 역직렬화)가 해당 항목에 포함되었다.
이 범주의 10개 CWE에 매핑된 CVE/CVSS(Common Vulnerability and Exposures/Common Vulnerability Scoring System) 데이터에서 가장 가중치가 높은 영향 중 하나이다.
- A09:2021-Security Logging and Monitoring Failures
(보안 로깅과 모니터링 실패)
OWASP Top 10 – 2017에서 A10번에 위치하던 Insufficient Logging & Monitoring(불충분한 로깅과 모니터링)항목으로 이름이 새롭게 변경되었다. 해당 항목은 보안 업계 설문조사에서 3위를 차지하였고, 이로 인하여 한단계 상승하며 아홉 번째 위치 (A09)로 이동하였다. 이 범주는 더 많은 유형의 실패를 포함하도록 확장되고 테스트하기 어렵고 CVE/CVSS 데이터에 잘 표시되지 않는다 그러나 이 범주의 오류는 가시성, 사고 경고 및 포렌식에 직접적인 영향을 줄 수 있다.
- A10:2021-Server-Side Request Forgery (서버 사이드 요청 변조)
OWASP Top 10 – 2017에는 존재하지 않았던 항목이고, 보안 업계 설문조사에서 1위를 차지하며 새롭게 추가된 항목이다. 데이터는 평균 이상의 테스트 범위와 함께 상대적으로 낮은 발생률과 익스플로잇 및 영향 가능성에 대한 평균 이상의 등급을 보여진다. 이 범주는 현재 데이터에 설명되어 있지 않지만 방화벽(WAF), 네트워크 ACL이 보호하고 있는 시스템을 SSRF을 통해 공격가능하며 관련된 시나리오가 존재하고 다양한 취약점이 발현될 수 있다.
참고자료
[1] OWASP Top 10:2021 (DRAFT FOR PEER REVIEW)
https://owasp.org/Top10/