OWASP Top 10 2017 RC1, 무엇이 달라졌나?

안녕하세요, 보안클라우드입니다!

약 한 달 전인 4월 10일, OWASP(The Open Web Application Security Project)가 'OWASP가 선정한 가장 치명적인 웹 애플리케이션 보안 위협 10가지'(이하 OWASP Top 10)을 발표하였습니다.

OWASP는 2004년 4월부터 안전한 웹 및 응용 애플리케이션을 개발할 수 있도록 지원하기 위해 미국에서 만들어진 단체이며, 비영리단체이기 때문에 중립적이고, 공정하며 실질적인 보안 가이드라인을 무료로 제공하고 있습니다. OWASP의 가이드라인은 지난 10여년동안 웹 및 애플리케이션 보안분야에서 실제적으로 표준이 되고 있습니다.

이런 OWASP에서는 3년마다 OWASP Top 10을 발표하고 있는데요, 지난 2013년에 발표한 이후 4년만에 새로운 버전의 OWASP Top 10이 이번에 새로 공개되었습니다.

그래서 오늘은, 새로운 17년 버전의 OWASP Top 10이 기존의 내용들과는 어떠한 차이점이 있는지에 대해 말씀드리려고 합니다.
 

OWASP Top 10 - 2013(왼쪽)과 OWASP Top 10 - 2017(오른쪽)

오른쪽에 나와있는 항목들이 이번에 발표된 OWASP Top 10 - 2017입니다.
2017년 버전에서의 달라진 점을 살펴보자면
 

1. 2013년의 A4(취약한 직접 개체 참조)와 A7(기능 수준의 접근통제 누락)이
    2017년의 A4(취약한 접근 제어)로 통합
2. A7(공격 방어 취약점) 항목 추가
3. A10(취약한 API) 항목 추가

크게 이렇게 세 항목입니다.

먼저, 기존의 A4(취약한 직접 개체 참조)와 A7(기능 수준의 접근통제 누락) 항목이 겹치는 부분이 많다고 생각되어 하나의 항목, A4(취약한 접근 제어)로 통합이 되었습니다.

그리고, 새로 생긴 A7(공격 방어 취약점)은
 

대부분의 애플리케이션과 API는 수동 및 자동화된 공격을 모두 탐지,방지,대응 할 수 있는 기본 기능이 부족하다. 공격 방어는 기본적인 입력 유효성 검사를 뛰어넘어 자동으로 탐지, 로깅, 응답 및 공격 시도차단을 포함한다. 애플리케이션 소유자는 공격으로부터 보호하기 위해 패치를 신속하게 배포할 수 있어야 한다.

라고 설명이 되어 있습니다.
이를 해석해보자면, 애플리케이션들이 애플리케이션 자체의 취약점, 자동화 공격, 비정상적인 입력 등 수 많은 알려진 공격에 대해 탐지하고, 대응 할 수 있는지에 대한 항목입니다. Brute Force 등의 자동화 공격을 막을 수 있는지, 취약점에 대한 적절한 빠른 패치가 이루어졌는지 등을 확인 해야하는 취약점입니다.
 

마지막으로 새로 추가된 A10(취약한 API)은
 

최신 애플리케이션 및 API에는 API(SOAP / XML, REST /JSON, RPC, GWT 등)에 연결하는 브라우저 및 모바일 애플리케이션의 자바 스크립트와 같은 여러 클라이언트 애플리케이션이 포함되는 경우가 많다. 이러한 API는 대부분 보호되지 않으며 수많은 취약점을 포함한다.

이라고 설명이 되어있습니다.
애플리케이션 개발 시 외부 API를 가져와 사용할 시 그 API에 대한 접근제어, 인증 등 취약한 부분에 의해 발생할 수 있는 취약점입니다. 페이지 하나를 구현하는데도 수 많은 API 요청을 하는 현재의 개발 현실을 잘 반영한 항목이라고 할 수 있습니다. 

참고로, 현재 발표된 OWASP Top 10 - 2017은 RC1(Release Candidate 1)버전으로, 확정된 버전이 아니고 2017년 6월 30일까지 공개 의견 수렴 기간을 거친 후, 2017년 7월 또는 8월에 최종 버전을 공개할 계획이라고 합니다.

4년만에 나온 OWASP Top 10인 만큼, 기존의 내용들과 많은 차이가 보인다는 평을 듣고있으며, 또 다른 발표에서 WAF(Web Application Firewall)나 RASP(Realtime Application Self-Protection) 기술을 갖출 필요가 있다고 촉구하였습니다. 기존의 OWASP는 '주요 취약점에는 어떤 것이 있으며, 어떻게 고쳐야 하는지'를 중심적으로 다루고 발표했다면, WAF와 RASP 기술을 갖추라고 말함으로써 보안의 방식을 바꿀 때가 되었다는 것을 나타내고 있다고 볼 수 있습니다.


 

  • 이전 해커들의 축제, 주목할만한 해킹대회
  • 다음 데이터를 이용한 인질극, 랜섬웨어