OWASP 코리아챕터는 8월 29일 'OWASP Top 10 2013' 한글본 공식 버전을 발표하고 가장 심각한 웹 애플리케이션 보안 위험 10가지를 공개했다.
 
OWASP 코리아챕터 관계자는 “그동안 번역에 참여해준 OWASP 회원 여러분께 감사의 말씀을 드린다. 앞으로 많은 이용을 바란다. 그리고 이번 프로젝트를 후원해 준 엔시큐어(대표 문성준 www.ensecure.co.kr)에 감사드린다”고 밝혔다.
 
최종 발표된 OWASP Top 2013 웹 애플리케이션 보안 위험 10가지는 다음과 같다.
A1 – 인젝션
A2 – 인증 및 세션 관리 취약점
A3 – 크로스 사이트 스크립팅 (XSS)
A4 – 취약한 직접 객체 참조
A5 – 보안 설정 오류
A6 – 민감 데이터 노출
A7 – 기능 수준의 접근 통제 누락
A8 – 크로스 사이트 요청 변조 (CSRF)
A9 – 알려진 취약점이 있는 컴포넌트 사용
A10 – 검증되지 않은 리다이렉트 및 포워드

 
Top 10 프로젝트의 목표는 조직에서 직면한 가장 중요한 몇 가지 위험요소를 식별해 애플리케이션 보안에 대한 인식을 향상시키는 데 있다.
 
이번 업데이트는 2010년 Top 10에 비해 일반적이면서도 중요한 취약점 분류 기준을 확대 적용했으며 얼마나 많이 퍼져있는가를 기준으로 순위를 재조정했다. 또한 2010년 Top 10의 ‘A6:보안 설정 오류’의 세부적인 설명의 모호함을 해소하고자, 위협 분류 가운데 컴포넌트 보안을 새로 포함시켰다.
 
OWASP Top 10 2013은 애플리케이션 보안을 전문으로 하는 7개 기업의 8개 데이터세트를 토대로 했다. 이 데이터들은 수백 개 기업, 수천 개의 애플리케이션에 걸친 50만개 이상의 취약점들을 포함하고 있다.
 
Top 10 각 항목들은 이 가운데 가장 많이 퍼져있는 데이터를 기준으로, 취약점 공격 가능성, 탐지 가능성, 그리고 영향 평가 등을 함께 고려해 선정됐다.
 
OWASP 코리아챕터 관계자는 “Top 10을 선정하는 가장 큰 이유는 가장 중요한 웹 애플리케이션의 보안 취약점 개발자, 설계자, 아키텍트, 운영자, 혹은 기관들에게 주요 웹 애플리케이션 보안 취약점으로 인한 영향을 알리기 위해서”라며 “Top 10은 위험도가 큰 문제들에 대해 대응할 수 있는 기본적인 기술을 제공하며 또한 이를 근거로 향후 방향을 제시하고 있다”고 설명했다.
 
'OWASP Top 10 2013' 한글본 공식 버전은 챕터 페이스북 페이지나 데일리시큐 자료실에서 다운로드 가능하다.
-OWASP 코리아챕터: www.facebook.com/groups/owaspk
 
데일리시큐  길민권 기자 mkgil@dailysecu.com