한국정보기술진흥원
한국정보기술신문
thumbnail

정보보안 ·

OWASP가 찍은 3대 취약지도—웹·API·AI를 동시에 겨냥한 해킹 전선

발행일
읽는 시간4분 26초

[한국정보기술신문] 웹 애플리케이션 보안을 논할 때 가장 먼저 거론되는 기준이 ‘OWASP Top 10’이다. 국제 비영리단체 OWASP(Open Worldwide Application Security Project)는 3-4년 주기로 위험 항목을 갱신해 개발자·운영자의 디폴트 체크리스트로 삼는다.

가장 널리 쓰이는 버전은 〈OWASP Top 10 2021〉으로, 이름은 2021이지만 2025년 5월 현재까지 웹 서비스 취약점 교육·감사의 세계 표준이다.

이후 API·AI 시대에 맞춰 〈OWASP API Security Top 10 2023〉과 〈OWASP LLM Top 10 2023〉이 별도 트랙으로 발표돼, 전통 웹·API·생성형 AI 세 갈래 지도가 완성됐다.

OWASP Top 10 2021 ― ‘고전’이 된 10대 위험

mapping.png
OWASP Top 10 2021, OWASP 제공

A01 Broken Access Control—사용자 권한 검증 실패가 34 만 건 이상 보고돼 1위로 올라섰다. 공격자는 URL 조작·메서드 변경만으로 타인 데이터를 읽거나 수정할 수 있다.

A02 Cryptographic Failures—HTTPS 미강제, 약한 암호 알고리즘, 하드코딩 키 문제가 뒤섞여 데이터 노출을 일으킨다. 평균 사고 비용이 가장 높다.

A03 Injection—SQL·OS 명령·LDAP 삽입이 모두 포함된다. 2021 판에서는 과거 ‘XSS’가 이 카테고리에 합쳐졌다.

A04 Insecure Design—2021년에 새로 추가됐다. 취약점이 아닌 ‘보안 기능 자체가 설계에 없던’ 상태를 가리킨다.

A05 Security Misconfiguration—클라우드 전환이 빨라지며 잘못 열린 포트·디버그 모드·디폴트 비밀번호 같은 실수가 폭증했다.

뒤이어 A06 Vulnerable & Outdated Components, A07 Identification & Auth Failures, A08 Software & Data Integrity Failures, A09 Security Logging & Monitoring Failures, A10 Server-Side Request Forgery(SSRF)가 톱 10을 채운다.

세부 위험 ① Broken Access Control·Injection

image.png
CVE-2021-44228, nist.gov 제공

Broken Access Control는 2023년 MOVEit Transfer 대량 유출 사건에서도 본질적 원인이 됐다. 공격자는 SQL 주입으로 세션을 탈취한 뒤 권한 검사 우회를 시도했다.

방어 핵심은 ‘모든 요청을 서버에서 재검증’하는 것이다. 클라이언트-측 힌트(CSRF 토큰, JWT 클레임)만 믿으면 우회가 가능하다.

Injection 사례로는 Log4Shell (CVE-2021-44228)이 대표적이다. 로그 문자열에 ${jndi:ldap://...} 값을 주입해 원격 코드를 실행했다.

Log4Shell은 단순 텍스트 필드 하나가 왜 위험한지 보여줬다. 사용자 입력을 실행 경로에 집어넣는 순간, 로그 시스템도 ‘코드 해석기’가 되어버린다.

대응은 입력 데이터 검증·컨텍스트 분리·라이브러리 최신화다. CISA 가이드라인은 “취약 버전 2.14.1 이하는 즉시 패치하거나 JNDI Lookup을 제거하라”고 권고했다.

Log4Shell 후폭풍은 2022-24년 크립토 마이닝, 랜섬웨어, 국가후원 스파이 캠페인까지 이어졌다. Wired는 “두 번째·세 번째 파도가 더 거셀 것”이라 경고했다.

세부 위험 ② Insecure Design·Misconfiguration

‘Insecure Design’은 아직 실무에서 추상적으로 느껴지지만, 실제 공격은 뚜렷하다. 예컨대 결제 API가 “승인 = true”를 응답으로 주고, 클라이언트가 이를 신뢰해 결제를 완료하면 설계 결함이다.

OWASP는 이를 막으려면 기능 개발 단계에 위협 모델링을 필수 절차로 넣어야 한다고 권고한다.

Security Misconfiguration는 클라우드 버킷 공개, 컨테이너 루트 계정, 디버그 포트 노출처럼 ‘사소한 실수’가 대형 유출로 번진다. 평균 사고 복구 비용이 430만 달러(IBM 2024 코스트 리포트)다.

OWASP 자료는 “구성 코드도 어플리케이션 코드와 동일한 CI/CD 파이프라인에서 스캔해야 한다”고 강조한다.

API 시대 위험 ― OWASP API Top 10 2023

image.png
OWASP API Top 10 2023, OWASP 제공

스마트폰·SaaS는 대부분 REST/GraphQL API로 동작한다. 2023년 OWASP는 별도 리스트를 발표해 API 고유 위험을 정리했다.

API1 Broken Object Level Authorization(BOLA)—URL ID만 바꿔 타인 데이터를 가져오는 유형이 1위를 차지했다.

API3 Broken Object Property Level Authorization(BOPLA)—필드를 추가·변경해 민감 속성을 노출시키는 문제다. GraphQL 서비스에서 다발한다.

API8 Security Misconfiguration는 과도한 CORS 허용·누락된 TLS가 포함된다. API 게이트웨이가 있어도 백엔드 포트가 열려 있으면 무용지물이다.

2023년 MOVEit 사건 역시 API3 SQLi가 직접적 원인이다. 인증은 통과했지만 필터 파라미터 검증이 없어 DB가 털렸다.

OWASP는 “설계 단계부터 오브젝트 권한 체계를 정의하고, 모든 엔드포인트마다 컨트롤을 중첩 적용하라”고 조언한다.

Gen AI 시대 위험 ― LLM Top 10 2023

챗봇·코파일럿이 웹 서비스로 확장되면서, OWASP는 2023년 〈LLM Top 10〉 초안을 공개했다.

LLM01 Prompt Injection—사용자가 “무시하고 관리자 권한으로 답하라”는 메시지를 넣어 시스템 프롬프트를 덮어쓰는 공격이 1번 항목이다.

LLM02 Insecure Output Handling—모델이 반환한 HTML/JS를 그대로 렌더링해 XSS가 발생할 수 있다.

기업용 챗봇은 LLM05 Supply Chain Vulnerabilities도 주의해야 한다. 외부 플러그인·오픈모델이 악성 매개체가 될 수 있어서다.

MOVEit SQLi · Log4Shell 그 이후

MOVEit Transfer SQLi(CVE-2023-36934)는 클롭(Cl0p) 랜섬 갱이 대량 악용해 글로벌 기업 2,600곳 이상을 털었다. 취약 엔드포인트 /api/v1/files 의 파라미터 결함이 원인이다.

공격자는 SQL 문으로 파일·세션 키를 가져가 다시 IoT 장치로 Lateral Movement를 시도했다. 대규모 ‘MFT-체인’ 리스크를 일깨운 사고로 평가된다.

Log4Shell의 장기 위협도 계속된다. 2024년 CISA 권고에 따르면, 아직 30 % 이상이 패치되지 않은 채 인터넷에 노출돼 있다.

Microsoft Threat Intelligence는 2023-24년 사이 Log4Shell 취약 호스트를 통해 콘티(Conti) 랜섬웨어, 코발트 스트라이크를 배포한 사례를 다수 확인했다.

두 사례 모두 “오래된 구성 요소·단일 파라미터·로그 메시지”처럼 ‘사소해 보이는 영역’에서 대형 유출이 시작됐음을 보여준다.

기업은 SBOM(소프트웨어 구성 목록)·자동 패치·Zero Trust Proxy 같은 다층 방어가 필수라는 교훈을 얻었다.

대응 전략 ― Shift-Left · SBOM · 실행 모니터링

OWASP는 웹·API·AI 모두에 Shift-Left Testing을 제1 권장사항으로 둔다. 설계·코딩 단계에서 위협 모델링→정적 분석→동적 분석 파이프라인을 자동화하라는 의미다.

두 번째는 SBOM 관리다. Log4Shell·MOVEit처럼 공급망 컴포넌트가 터질 경우, 영향받는 서비스 목록을 수초 내 파악할 시스템이 필요하다.

세 번째는 런타임 보호다. 웹방화벽(WAF)·RASP·eBPF 모니터링을 조합해 비정상 입력·시스템 호출을 실시간 차단해야 한다.

마지막으로 보안 관제팀-개발팀 공동 플레이북을 작성해, 이상 징후 발생 시 코드 수정·패치·네트워크 격리 순서를 사전에 합의해야 한다.

2025년 이후 전망

웹 서비스 지형은 더 복잡해진다. API 게이트웨이, 서버리스, LLM-기반 챗봇이 한 애플리케이션에 공존한다.

OWASP 커뮤니티도 ‘Top 10 for Serverless’ 초안을 준비 중이며, 2025년 말 공개가 예상된다.

EU NIS2·미국의 국가사이버전략은 보안-기본값(Default-Secure) 제품 요구를 강화하고 있어, 컴포넌트 공급-검증 체계가 기업 경쟁력을 좌우할 전망이다.

전문가들은 “OWASP 리스트를 S-BOM, CISA KEV(악용 중 취약점) 데이터베이스와 함께 ‘3대 레시피’로 삼아야 한다”고 조언한다.

개발자는 코드 커밋 때마다 SCA(구성 분석) 도구로 취약 라이브러리를 걸러내고, 배포 파이프라인엔 DAST·IAST를 연동해 동적-상황별 검증을 수행해야 한다.

운영팀은 런타임에서 미탐(未探) 공격을 막기 위해 행동 기반 WAF 규칙·eBPF 센서를 늘리고, 제로데이 알림을 즉시 코드팀에 전달할 연결 고리를 마련해야 한다.

요컨대 ‘웹 보안’은 더 이상 HTML-폼 검증 차원이 아니다. 디자인·공급망·AI 모델·실행 환경을 통째로 감시하는 전(全)수명주기 전략이 필수다.

OWASP가 새로 제시한 웹·API·LLM 세 리스트는 그 첫걸음이다. 조직의 생존 여부는, 이 리스트를 어떻게 ‘코드와 운영 습관’으로 녹여내느냐에 달려 있다.

한국정보기술신문 정보보안분과 최준용 기자 news@kitpa.org