OWASP Top 10 2017 RC2 발표...새로 선정된 보안 취약점 3가지는?

새로 공개된 OWASP Top 10 2017 RC2 버전...RC1에서 어떤 항목 바뀌었나

[보안뉴스 김경애 기자] 비영리재단인 OWASP가 ‘OWASP(The Open Web Application Security Project) TOP10 2017 RC2’를 발표했다.

이번에 발표된 RC(Release Candidate) 2는 지난 9월 공개된 ‘OWASP TOP10 2017 RC1’의 다음 단계이자 최종 정식버전의 바로 전 단계로 피드백을 받기 위해 미리 공개하는 버전이다.

이는 내부 저자들이 1차적으로 RC1을 작성하고, 수많은 외부 전문가들의 여러 검증을 거치며 최종 정식버전까지 발전시켜 나가기 위해서 진행된다고 볼 수 있다. 무엇보다 보안위협에 대해 보다 전문적이고 신뢰성 있는 정보를 취합함으로써 보안위협 해소에 기여하기 위해 진행되는 것이다.

RC2에서 새롭게 선정된 보안 취약점은 △A4. XML External Entity △A8. Insecure Deserialization △A10. Insufficient Logging & Monitoring 3가지 항목이다. 반면, RC1에서 발표됐던 △A7. Insufficient Attack Protection △A8. CSRF△A10. Underprotected APIs 항목은 제외됐다.

A4. External Entity(XXE)
XXE는 악의적인 자바스크립트를 막기 위한 필터장치를 우회하는 취약점이다. XML 문서에서 동적으로 외부 URI의 리소스를 포함시킬 수 있는 외부 엔티티(Entity)를 사용할 때 발생한다. 외부 엔티티는 파일 URL 처리기, 패치되지 않은 Windows 서버의 내부 SMB 파일 공유, 내부 포트 검색, 원격 코드 실행 및 Billion Laughs 공격과 같은 서비스 거부 공격과 내부파일 공개에 악용될 수 있다.

A8. 안전하지 않은 역직렬화 취약점(Insecure Deserialization)
이 취약점은 응용 프로그램이 악의적인 직렬화된 객체를 받았을 때 불안정한 직렬화 오류가 발생한다. 안전하지 않은 직렬화로 인해 원격코드가 실행된다. 공격자에 의해 직렬화된 개체가 재생, 변조, 삭제, 삽입, 공격자 권한 상승 등의 문제가 발생될 수 있다.

A10. 불충분한 로깅 및 모니터링(Insufficient Logging & Monitoring)
이 취약점은 불충분한 로깅 및 모니터링과 사고 대응과의 통합이 누락되거나 비효율적인 경우 공격자에 의해 시스템 공격으로 이어지거나 데이터 변조와 추출, 심지어 파괴될 수 있는 취약점이다.

시큐리티플러스의 박형근 대표는 “아직 최종본을 좀더 기다려봐야 하겠지만, RC1에 비해 RC2는 전세계 많은 보안 전문가들이 웹 어플리케이션 취약점에 대해 보다 정확한 현재 상황을 통찰해 제시하기 위한 결과물”이라며 “향후 웹 어플리케이션 보안에 있어 XML상의 외부 객체 활용과 객체 직렬화를 사용하는 분산 서비스 환경에서 취약점 악용 사례 증가와 웹 어플리케이션에 대한 취약한 로깅과 모니터링, 그리고 사고 대응 체계 내에서의 고려에 대한 언급은 시사하는 바가 매우 크다”고 말했다.
[김경애 기자(boan3@boannews.com)]

AI 및 AI 보안 솔루션이 보안 인력의 업무에 어떤 식으로 영향을 미칠것이라고 생각하시나요
	부족한 인력 보충: 만성적인 인력 부족 문제를 해결하는 보완재 역할을 하고 있다(100% 대체는 불가)
	업무 영역의 분리: AI는 대량 데이터 처리를, 전문가는 고도의 전략적 판단을 맡는 등 역할이 완전히 다르다
	업무 총량의 전이: 단순 업무는 줄었으나, AI 모델 관리·검증 등 새로운 형태의 운영 업무가 발생해 전체 업무량은 비슷하다
	인력 대체 가능: 단순 반복 업무를 넘어 분석/판단 영역까지 대체하여 인력을 줄일 수 있다
	신뢰도 부족: 아직은 AI의 오탐이나 환각(Hallucination) 우려로 인해 사람이 일일이 재검토해야 하므로 실질적인 도움은 적다