취약점 관리자들의 중요 참고 문건인 OWASP Top 10 초안 발표돼

올해 OWASP은 최신화 된 Top 10 취약점 목록을 발표하기로 하고 이번 주 초안부터 공개했다. 취약점의 항목을 정의하는 부분에서 지난 버전과의 차이를 보이고 있으며, 그에 따라 순위에도 변동이 있었다. 다행히 중요한 건 순위가 아니라 10위에 포함된 모든 취약점들이다.

[보안뉴스 문가용 기자] 오픈 웹 애플리케이션 보안 프로젝트(Open Web Application Security Project, OWASP)가 최고의 웹 애플리케이션 보안 위협 목록을 갱신해 새롭게 발표했다. 보안 업계에서는 꽤나 중요한 문건인 ‘OWASP Top 10 취약점’이다. 아직 초안인 상태이긴 하지만 전 버전에 비해 적잖은 변경점이 눈에 띈다.

[이미지 = utoimage]

OWASP의 Top 10 취약점은 3~4년에 한 번씩 비정기적으로 발표되는 문서로, 가장 많이 익스플로잇 되는 취약점들의 유형이 무엇인지 순서대로 정리한 것이다. 이번 주 발표된 초안의 경우 전체 취약점의 약 1/5을 차지하고 그동안 계속해서 상위권에 이름을 올렸던 XSS 취약점이 사라진 사실이 가장 충격적이다. 하지만 사라진 게 아니라 ‘주입(Injection) 오류’라는 항목에 포함되는 식으로 재분류가 된 것이다. XSS 공격은 여전히 가장 빈번한 취약점 중 하나다.

이번 버전에 새롭게 추가된 취약점 항목들도 눈에 띈다. 그 중 하나는 ‘불안전한 설계(Insecure Design)’라는 항목으로 처음 등장했음에도 4위에 이름을 올렸다. 1~3위를 차지한 위협들은 순서대로 ‘잘못된 접근 제어’, ‘암호화 오류’, ‘주입 오류’다. ‘잘못된 접근 제어’와 ‘주입 오류’는 애플리케이션 실험에서 가장 빈번하게 나타나는 위협이고 ‘암호화 오류’는 조직들이 가장 많이 간과하는 오류 중 하나이며 심각한 데이터 침해 사건으로 이어질 가능성이 높다고 OWASP은 설명하고 있다. 이런 팁들은 조직마다 상황이 다르다고 해도 참고해볼 만하다.

‘주입 오류’는 2017년에 발표된 OWASP Top 10 목록에 1위를 차지했었다. 당시에는 주입 오류의 범위가 좁아 XSS를 포함하지 않고 있었다. 당시 3위였던 ‘민감 정보 노출’은 올해 ‘암호화 오류’의 일종으로서 새롭게 분류됐다. 당시 2위였던 건 ‘잘못된 인증 원리’였는데, 이번에는 7위에 배치됐다. 이름은 ‘식별 및 인증 실패’로 바뀌었다.

물론 순위가 높을수록 웹 환경에 보다 자주 등장하는 취약점이긴 하지만 Top 10에 속할 정도면 1위든 10위든 한 결 같이 중요하다는 게 보안 전문가들의 설명이다. 보안 업체 시놉시스(Synopsys)의 수석 전략가인 조나단 크누센(Jonathan Knudsen)은 “목록에 있는 10가지 유형의 취약점 모두에 대한 대책을 마련하는 실천이 뒤따라야 이 목록이 진정한 가치를 발하게 된다”는 의견이다. “목록이 작성되고 발표되었다는 건, 시작에 불과할 뿐입니다. 이걸 가지고 ‘액션 플랜’을 짜는 것이 필수입니다.”

또 중요한 건 이 목록에 있는 취약점들에만 신경을 쓰지 않는 것이다. 크누센은 다음과 같이 설명한다. “애플리케이션 보안 전문가 아무나 잡고 ‘가장 위험한 취약점이 무엇인가요?’라고 물어보면 제각각의 답이 나올 겁니다. 각 조직마다, 그리고 담당자마다 입장이 다르고, 따라서 ‘가장 위험하다’고 느끼는 게 다를 수밖에 없습니다. 또한 취약점의 위험도를 평가하는 방법론이 모두 개발된 것도 아닙니다. OWASP의 목록은 중요한 위협들을 꼽는 여러 방법 중 하나일 뿐이고, 따라서 조직에 따라 전혀 다른 시각을 가질 수 있습니다. 따라서 취약점 관리에 있어 참고할 만한 중요 문건인 건 맞지만 절대적 진리를 가진 유일무이한 ‘바이블’은 아닙니다.”

보안 업체 K2 사이버 시큐리티(K2 Cyber Security)의 CTO인 제이언트 슈클라(Jayant Shukla)는 “정적 분석 기법으로는 탐지되지 않는 위협들도 수두룩하다”며 “OWASP의 Top 10 목록이 중요하다는 데는 동의하지만 이것 하나에 모든 위협들이 온전히 정리되어 있다고 보지는 않는다”는 것을 강조하기도 한다. “수많은 전문가들이 눈을 부릅뜨고 실험해도 놓치는 취약점들이 얼마나 많은지 알면 깜짝 놀랄 겁니다. 순전히 운으로 발견하는 취약점들도 대단히 많고요. 따라서 OWASP 취약점 목록을 기본 바탕에 깐 상태에서 능동적 취약점 관리 체계를 유지하는 것이 중요합니다.”

초안은 OWASP의 블로그(https://owasp.org/Top10/)를 통해 확인이 가능하다.

3줄 요약
1. OWASP, 올해의 Top 10 취약점 목록 발표함.
2. 아직은 초안 상태라 더 많은 피드백 거친 후 최종본 발표할 것으로 보임.
3. 취약점 항목의 정의가 바뀌면서 순위 변동 일어난 것이 눈에 띔.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)