OWASP 한국 챕터에서 번역한 OWASP Top 10 2013 한글 버전 초안이 공개됐다. 챕터 관계자는 “아직 다소 매끄럽지 못한 부분이 있어 공개 의견수렴을 하고자 한다. 의견수렴 기간은 8월 13일~8월 23일까지인 만큼 많은 의견을 바란다. 최종본은 8월 26일경에 공개할 예정이다”라고 밝혔다.
 
2010년도 버전 대비 2013년 버전 변경 사항을 보면, Top 10 기준으로 ‘훼손된 인증 및 세션관리’가 상향조정 되었으며, ‘크로스사이트 요청 변조’가 A8로 하향 조정되었으며 ‘제한된 URL 접근 실패’가 ‘함수 수준의 접근 통제 누락’으로 변경되었다. 또 2010-A7 및 A9을 통합 확장해 ‘민감 데이터 노출’로 새로 정의했다. 또 ‘알려진 취약점 있는 컴포넌트 이용’이 추가됐다.
 
2010 버전과 신규 2013 버전의 자세한 변경 사항은 아래와 같다. 
 
OWASP Top 10 2013 항목은 A1-인젝션, A2-훼손된 인증 및 세션 관리, A3-크로스사이트스크립팅(XSS), A4-불안정한 직접 객체 참조, A5-잘못된 보안 구성, A6-민감 데이터 노출, A7-함수 수준의 접근 통제 누락, A8-크로스 사이트 요청 변조(CSRF), A9-알려진 취약점이 있는 컴포넌트 사용, A10-검증되지 않은 리다이렉트 및 포워드 등이다. OWASP Top 10 2013에 대한 상세 설명은 아래와 같다.
 
◇A1-인젝션: SQL, 운영체제, LDAP 인젝션취약점은 신뢰할 수 없는 데이터가 명령어나 질의문의 일부분으로서 인터프리터에 보내질 때 발생한다. 공격자의 악의적인 데이터는 예기치 않은 명령실행이나 적절한 권한 없이 데이터에 접근하도록 인터프리터를 속일 수 있다.
 
◇A2-취약한 인증과 세션관리: 인증과 세션관리와 관련된 애플리케이션 기능은 종종 공격자가 다른사용자 ID를 가장할 수 있도록 암호, 키 또는 세션토큰을 손상하거나 다른 구현결함들을 악용할 수 있는 취약점을 발생시킨다.
 
◇A3-크로스 사이트 스크립팅(XSS): XSS 취약점은 애플리케이션이 신뢰할 수 없는 데이터를 가져와적절한 검증이나 제한없이 웹브라우저로 보낼 때 발생한다. XSS는 공격자가 피해자의 브라우저에 스크립트를 실행하여 사용자 세션탈취, 웹사이트변조, 악의적인 사이트로 이동을 할 수 있다.
 
◇A4-안전하지 않은 직접 객체 참조: 직접객체참조는 개발자가 파일, 디렉토리, 데이터베이스키와 같은 내부구현 객체를 참조하는 것이 노출할 때 발생한다. 접근통제를 통한 확인이나 다른 보호수단이 없다면, 공격자는 노출된 참조를 조작하여 허가 받지않은 데이터에 접근할 수 있다.
 
◇A5-보안상 잘못된 구성: 훌륭한 보안은 애플리케이션, 프레임워크, 애플리케이션서버, 웹서버, 데이터베이스서버 및 플랫폼에 대해 보안구성이 정의되고 적용되기를 요구한다. 기본으로 제공되는 값은 종종불안하기 때문에 보안설정은 정의구현되고 유지해야 한다. 또한, 소프트웨어는 최신의 상태로 유지해야 한다.
 
◇A6-민감한 데이터 노출: 많은 웹애플리케이션들이 신용카드, 세금ID 및 인증정보와 같은 중요한 데이터를 제대로 보호하지 않는다. 공격자는 신용카드사기, 신분도용 또는 다른 범죄를 수행하는 등 약하게 보호된 데이터를 훔치거나 수정할 수 있다. 중요 데이터가 저장 또는 전송중이거나 브라우저와 교환하는 경우 특별히 주의하여야 하며, 암호화와 같은 보호조치를 하여야 한다.
 
◇A7-함수 수준 접근통제 누락: 대부분의 웹애플리케이션은 UI에 해당 기능을 표시하기 전에 기능수준의 접근권한을 확인한다. 그러나 애플리케이션은 각 기능에 접근하는 서버에 동일한 접근제어 검사를 수행한다. 요청에 대해 적절히 확인하지 않을 경우 공격자는 적절한 권한없이 기능에 접근하기 위한 요청을 위조할 수 있다.
 
◇A8-크로스 사이트 요청 변조(CSRF): CSRF공격은 로그온 된 피해자의 취약한 웹애플리케이션에 피해자의 세션쿠키와 기타 다른 인증정보를 자동으로 포함하여 위조된 HTTP 요청을 강제로 보내도록하는 것이다. 이것은 공격자가 취약한 애플리케이션이 피해자로부터의 정당한 요청이라고 착각하게 만드는 요청들을 생성하기 위해 피해자의 브라우저를 강제할 수 있다.
 
◇A9-알려진 취약점과 컴포넌트 사용: 컴포넌트, 라이브러리, 프레임워크 및 다른 소프트웨어모듈은대부분 항상 전체 권한으로 실행된다. 이러한 취약한 컴포넌트를 악용하여 공격하는 경우 심각한 데이터 손실 또는 서버탈취를 용이하게 한다. 알려진 취약점과 컴포넌트를 사용하는 애플리케이션은 애플리케이션 방어체계를 손상하거나, 공격가능한 범위를 활성화하는 등의 영향을 미친다.
 
◇A10-검증되지 않은 리다이렉트와 포워드: 웹애플리케이션은 종종 사용자들을 다른 페이지로 리다이렉트하거나 포워드하고, 대상 페이지를 결정하기 위해 신뢰할 수 없는 데이터를 사용한다. 적절한 검증 절차가 없으면 공격자는 피해자를 피싱 또는 악성코드사이트로 리다이렉트하거나 승인되지 않은 페이지에 접근하도록 전달할 수 있다.
 
OWASP 한국 챕터에서 번역한 OWASP Top 10 2013 한글 버전 초안은 한국 챕터 페이스북(www.facebook.com/groups/owaspk)에서 다운로드 가능하며 데일리시큐 자료실에서도 다운로드 가능하다.
 
한국 챕터 관계자는 “이번 한글화에 참여해주신 챕터 회원분들께 감사의 말씀을 드리며 프로젝트를 후원해준 엔시큐어(대표 문성준 www.ensecure.co.kr)에게도 깊은 감사의 말씀을 전한다”고 밝혔다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com