OWASP, 2025년 웹 애플리케이션 보안 취약점 Top 10 릴리스 후보 공개...접근 제어 실패 1위 유지

웹페이지 내용을 확인하여 기사를 작성하겠습니다.#

소프트웨어 공급망 실패 등 2개 신규 카테고리 추가, 2.8백만 개 애플리케이션 데이터 분석

[한국정보기술신문] 세계 최대 규모의 웹 애플리케이션 보안 커뮤니티인 OWASP가 2025년 11월 6일 OWASP Top 10 2025 릴리스 후보 버전을 공개했다. 8번째 버전을 맞이한 이번 보고서는 280만 개 이상의 애플리케이션 데이터를 분석해 작성됐으며, 애플리케이션 보안 분야의 가장 중요한 참고 자료로 활용되고 있다.

이번 2025년 버전에는 소프트웨어 공급망 실패와 예외 조건 오처리 등 2개의 새로운 카테고리가 추가됐다. 접근 제어 실패는 3년 연속 1위를 차지하며 가장 심각한 애플리케이션 보안 위험으로 확인됐다. 데이터 분석 결과 평균 3.73%의 애플리케이션에서 접근 제어 관련 취약점이 발견된 것으로 나타났다.

보안 구성 오류 2위로 급상승

주목할 만한 변화는 보안 구성 오류가 2021년 5위에서 2025년 2위로 대폭 상승했다는 점이다. 테스트된 애플리케이션의 3.00%에서 보안 구성 관련 취약점이 발견됐으며, 이는 소프트웨어 개발 환경에서 구성 기반 동작이 증가하고 있는 추세를 반영한다.

새롭게 추가된 소프트웨어 공급망 실패 카테고리는 커뮤니티 설문조사에서 압도적인 관심을 받았다. 이 카테고리는 2021년의 취약하고 구식 컴포넌트 항목을 확장한 것으로, 소프트웨어 의존성, 빌드 시스템, 배포 인프라 전반의 보안 위협을 포괄한다. 데이터상 발생 빈도는 낮지만 CVE 기준 가장 높은 악용 가능성과 영향력 점수를 기록했다.

데이터와 커뮤니티 의견 결합한 방법론

OWASP는 이번 보고서 작성에서 데이터 기반 접근법과 커뮤니티 설문조사를 결합한 방법론을 사용했다. 12개 카테고리를 데이터로 순위를 매기고, 2개는 보안 전문가들의 설문 응답으로 선정했다. 이는 자동화된 테스트로 발견할 수 있는 과거의 취약점과 현장 전문가들이 인식하는 신규 위협을 균형있게 반영하기 위함이다.

이번 분석에는 589개의 CWE가 포함됐으며, 이는 2021년 약 400개에서 크게 증가한 수치다. 전체 10개 카테고리에는 248개의 CWE가 포함됐다.

OWASP Top 10 2025의 주요 저자로는 앤드류 반 데어 스톡, 브라이언 글라스, 닐 스미스라인, 타냐 잔카, 토르스텐 기글러가 참여했으며, 액센츄어, 버그크라우드, 베라코드 등 다수의 기업이 데이터를 제공했다.

OWASP Top 10 2025 릴리스 후보 버전의 전체 내용은 OWASP 공식 웹사이트를 통해 확인할 수 있으며, 정식 버전 출시 전까지 커뮤니티 피드백을 받을 예정이다.

한국정보기술신문 정보보안분과 안서진 기자 news@kitpa.org