• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

OWASP, 2017년 Top 10 취약점 발표 2017.11.22

CSRF 취약점은 목록에서 제외, XSS도 순위 떨어져
XXE 취약점 및 역직렬화 오류 새롭게 순위 진입

[보안뉴스 문가용 기자] OWASP이 수개월 동안 진행된 검토 끝에 웹 애플리케이션 보안 취약점 순위를 공식 발표했다. 이른바 OWASP Top 10 취약점 목록이라고 하는데, 지난 번에 공개된 목록에서 세 가지 취약점이 바뀌기도 했다.

[이미지 = iclickart]


일단 올해의 Top 10에서 상위를 차지한 건 이전과 마찬가지로 주입식 공격이 가능한 취약점들이다. SQL 인젝션 취약점과 LDAP 인젝션 취약점이 가장 높은 순위를 기록했다. 그 뒤로는 잘못 구축된 인증 및 세션 관리 기능에서의 취약점들이 꼽혔다. 반면 2013년 목록에서 3위를 차지했던 XSS는 7위로 떨어졌고, 비슷한 CSRF의 경우 아예 이번 Top 10 목록에서 제외됐다.

이번 목록을 통해 처음 OWASP Top 10에 등장한 취약점들 세 개 중 하나는 XXE라는 항목으로 분류될 수 있다고 OWASP은 설명한다. XXE란 XML external entities(XML 외부 객체)의 준말로 업데이트가 되지 않았거나 잘못 설정된 XML 프로세서와 관련된 취약점들이다. 나머지 두 개는 역직렬화(deserialization) 오류들로 익스플로잇 될 경우 원격에서 코드 실행을 가능하게 해준다.

OWASP은 보안 커뮤니티의 피드백을 통해 Top 10 목록을 수정하고 업데이트 했다고 밝혔다. 또한 500명의 전문가의 조언을 수렴하고, 10만개 애플리케이션으로부터 수집한 각종 취약점들을 분석한 결과라고도 설명했다.

OWASP의 Top 10 취약점 목록은 웹 애플리케이션 보안을 담당하는 실무자들에게 있어 매우 중요한 자료로서의 역할을 해왔다. 보안 위협들이 홍수처럼 쏟아지는 가운데 우선순위를 두고 보안을 강화할 수 있도록 해주었기 때문이다. 하지만 이러한 취약점 순위 목록 작업 자체에 논란이 없는 것도 아니다.

보안 업체 센티넬원(SentinelOne)의 최고 전략 책임자인 예레미야 그로스만(Jeremiah Grossman)은 “너무 ‘최근 애플리케이션들에만’ 집중되어 있는 느낌이 있어, 조금 철 지난 레거시(legacy) 애플리케이션들을 많이 사용하는 조직에서는 주의해야 할 필요가 있다”고 지적한다. “CSRF가 이번 취약점 목록에서 제외되었다는 건 예상 밖의 일입니다. 하지만 CSRF 취약점은 지금도 활발하게 익스플로잇 되고 있는 중이죠. 반면 XXE는 그리 흔한 오류가 아니죠.”

그러므로 애플리케이션 보안에 있어 시대가 변하고 있다는 걸 알려준다는 측면에서는 좋은 자료라고 예레미야는 말한다. “말 그대로 Top 10 목록입니다. 모든 취약점들 중 10가지만 뽑은 거죠. 이 사실을 간과하면 안 됩니다. 이것만 지키면 안전해지는 게 아니고, 이전 Top 10 목록과 함께 열람한다면 매우 귀중한 자료임에는 틀림없습니다.”

또 다른 보안업체 아카마이(Akamai)의 수석 연구원인 라이언 바넷(Ryan Barnett) 역시 “CSRF가 밀려났다는 것이 놀랍다”는 입장이다. 게다가 XSS 취약점 순위가 낮아졌다는 것도 예상치 못했다고 한다. “XSS와 CSRF는 여러 단계로 나눠지는 공격의 시발점이 되거나 중간 다리를 놓아주는 역할을 한다는 점에서 현대 애플리케이션 생태계의 큰 위협인데 말이죠.”

그것 외에도 사실상 정적 및 동적 코드 분석과 일부 업체들의 침투 테스트 결과만을 반영해 목록을 만들었다는 것도 바넷에게 우려되는 부분이다. “이 취약점 목록은 ‘얼마나 많이 존재하는가’를 반영하는 것이지 ‘얼마나 공격 가능성이 높은가’를 반영한다고 볼 수는 없습니다. 다음 목록 작성 때는 웹 애플리케이션 방화벽 업체들도 참가해 의견을 반영했으면 좋겠습니다.”

OWASP이 새롭게 발표한 Top 10 취약점 유형은 1) 인젝션 종류의 취약점, 2) 잘못된 인증 과정, 3) 민감한 데이터 노출, 4) XXE 취약점, 5) 접근 통제 오류, 6) 보안 설정 오류, 7) XSS 취약점, 8) 불안전한 역직열화, 9) 알려진 취약점들을 포함한 요소들, 10) 불충분한 로깅 및 모니터링이다. 보다 상세한 내용은 다음 링크를 통해 열람할 수 있다.
https://www.owasp.org/images/7/72/OWASP_Top_10-2017_%28en%29.pdf.pdf

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>