OWASP Top 10 2025: 소프트웨어 공급망 장애

많은 기대를 모았던 2025년 OWASP 톱 10이 발표됨에 따라, 기업들은 목록의 최상단에 숨어 있는 위협을 포함하여 몇 가지 새로운 위협을 더욱 주의해야 합니다. 소프트웨어 공급망 장애는 새로운 카테고리로 등장했지만 완전히 새로운 것은 아니며, 오픈 웹 애플리케이션 보안 프로젝트의 4년마다 발표하는 웹 애플리케이션 보안에 대한 가장 심각한 위험 목록에서 3위를 차지했습니다. 기업들이 아직 심각하게 받아들이지 않았다면 매우 심각하게 받아들여야 할 위험입니다. 

소프트웨어 공급망 장애는 2021년 이전 목록의 취약하고 오래된 구성 요소라는 범주에서 벗어나 이제는 종속성, 구축 시스템, 배포 인프라 등 소프트웨어 생태계 전반에 걸친 광범위한 손상을 포함합니다. 2019년 솔라윈즈, 올해 초의 바이비트 해킹, 현재 진행 중인 샤이훌루드 캠페인, 노출된 개발자 환경을 혼란에 빠뜨리는 자가 복제 npm 웜과 같은 유명 공급망 공격으로 인한 피해를 고려할 때 이 목록에 포함된 것은 특별한 놀랄 일이 아닐 것입니다.

비록 중간에 업데이트가 있긴 하지만, 4년마다 발표되는 목록에 걸맞게 OWASP 톱 10은 대체로 일관성을 유지해 왔습니다. 예를 들어, 오랜 기간 상위권에 머물렀던 인젝션이 3위에서 5위로 떨어지고, 안전하지 않은 디자인이 6위로 두 계단 하락한 반면, 보안 구성 오류는 5위에서 2위로 뛰어오르는 등 목록 내에서 약간의 순위 변동이 있었습니다. Broken Access Control은 계속해서 1위 자리를 지키고 있습니다. 2025년 버전에는 앞서 언급한 소프트웨어 공급망 장애와 예외적 조건의 잘못된 처리라는 두 가지 항목이 새롭게 추가되어 10위에 진입했습니다. 여기에서는 새로운 공급망 취약성 항목에 대해 자세히 살펴봅니다.

[동영상 보기]

취약점은 거의 모든 곳에서 발생할 수 있습니다.

소프트웨어 공급망 실패는 목록에서 다소 특이한 카테고리로, 10개의 항목 중 OWASP의 연구 데이터에서 발생 건수가 가장 적지만 5개의 공통 취약점 열거(CWE)로 인한 평균 익스플로잇 및 영향 점수가 가장 높았습니다. OWASP는 이 카테고리의 존재감이 제한적인 것은 현재 테스트에 어려움이 있기 때문이며, 이는 결국 개선될 수 있다고 말했습니다. 그럼에도 불구하고 설문조사 응답자들은 소프트웨어 공급망 장애를 압도적으로 가장 큰 우려 사항으로 꼽았습니다.

대부분의 공급망 취약성은 업스트림 및 다운스트림 파트너와 제3자를 포함하는 비즈니스의 상호 연결된 특성에서 비롯됩니다. 모든 상호 작용에는 구성 요소(종속성 또는 라이브러리라고도 함)가 보호되지 않을 수 있는 소프트웨어가 포함됩니다. 기업이 자체 구성 요소(클라이언트 측, 서버 측 또는 중첩된)의 모든 버전과 전이 종속성(다른 라이브러리로부터)을 추적하여 취약하거나 지원되지 않거나 오래된 것이 아닌지 확인하지 않으면 취약할 수 있습니다. 컴포넌트는 일반적으로 애플리케이션과 동일한 권한을 가지므로 타사 또는 오픈 소스 리포지토리에서 제공되는 컴포넌트를 포함하여 손상된 컴포넌트는 광범위한 영향을 미칠 수 있습니다. 적시에 패치를 적용하고 업데이트하는 것은 필수적이며, 월별 또는 분기별 정기 패치 일정조차도 며칠 또는 몇 달 동안 기업에 노출될 수 있습니다. 

마찬가지로 공급망에 변경 관리 프로세스가 없으면 통합 개발 환경(IDE)이나 코드 저장소, 이미지 및 라이브러리 저장소 또는 공급망의 다른 부분에 대한 변경 사항을 추적하지 않으면 취약점이 발생할 수 있습니다. 조직은 액세스 제어 및 최소 권한 정책을 적용하여 개인이 감독 없이 코드를 생성하여 프로덕션에 배포할 수 없도록 하고 신뢰할 수 없는 출처에서 구성 요소를 다운로드할 수 없도록 하여 공급망을 강화해야 합니다. 

공급망 공격은 다양한 형태로 나타날 수 있습니다. 악명 높은 솔라윈즈 공격은 러시아 공격자들이 이 회사의 인기 네트워크 관리 소프트웨어 업데이트에 멀웨어를 주입하면서 시작되었습니다. 이 공격은 약 18,000명의 고객에게 영향을 미쳤습니다. 실제로 영향을 받은 기업의 수는 100개에 가까웠지만, 그 목록에는 주요 기업과 정부 기관이 포함되어 있었습니다. 북한 소행으로 추정되는 15억 달러 규모의 바이비트 해킹은 암호화폐 앱이 손상된 것과 관련이 있습니다. 최근 발생한 글래스 웜 공급망 공격은 보이지 않는 자가 복제 코드가 오픈 VSX 마켓플레이스를 감염시켰습니다. 

공급망 익스플로잇 방지

공급망 공격은 시스템의 상호 의존성을 수반하기 때문에 이를 방어하려면 포괄적인 접근 방식이 필요합니다. OWASP는 패치 관리 프로세스를 마련하는 것을 포함하여 공격을 예방하기 위한 팁을 제공합니다:

• 모든 소프트웨어에 대한 소프트웨어 자재 명세서(SBOM)를 파악하고 중앙에서 SBOM을 관리하세요. 나중에 생성하는 것보다 빌드 중에 SPDX 또는 CycloneDX와 같은 표준 형식을 사용하여 SBOM을 생성하고 릴리스당 기계 판독이 가능한 SBOM을 하나 이상 게시하는 것이 가장 좋습니다.
• 전이 종속성을 포함한 모든 종속성을 추적하여 사용하지 않는 종속성은 물론 불필요한 기능, 구성 요소, 파일 및 문서를 제거하세요. 
• 클라이언트 측 및 서버 측 컴포넌트와 그 종속성을 지속적으로 인벤토리화하기 위해 OWASP 종속성 검사 또는 retire.js와 같은 도구를 사용합니다.
• 공통 취약점 및 노출 (CVE) 웹사이트와 국가 취약점 데이터베이스 (NVD)와 같은 출처를 지속적으로 모니터링하여 취약점에 대한 최신 정보를 파악하고 사용하는 구성 요소와 관련된 보안 취약점에 대한 이메일 알림을 구독하세요.
• 보안 링크를 통해 신뢰할 수 있는 출처에서 얻은 컴포넌트만 사용하세요. 예를 들어 신뢰할 수 있는 공급자는 연구원과 협력하여 연구원이 컴포넌트에서 발견한 CVE를 기꺼이 공개할 수 있습니다.
• 사용할 종속성 버전을 신중하게 선택하고 필요한 경우에만 업그레이드하세요. NVD와 같이 잘 알려진 출처에 취약점이 공개된 타사 라이브러리로 작업하세요. 
• 유지 관리되지 않거나 지원되지 않는 라이브러리 및 컴포넌트가 있는지 모니터링하세요. 패치가 불가능한 경우에는 발견된 문제를 모니터링, 감지 또는 보호하기 위해 가상 패치를 배포하는 것을 고려하세요.
• 개발자 도구를 정기적으로 업데이트합니다.
• CI/CD 파이프라인의 구성 요소를 이 프로세스의 일부로 취급하여 변경 사항을 문서화하면서 강화 및 모니터링하세요.

변경 관리 또는 추적 프로세스는 CI/CD 설정, 코드 리포지토리, 샌드박스, 통합 개발자 환경(IDE), SBOM 툴링, 생성된 아티팩트, 로깅 시스템 및 로그, SaaS와 같은 타사 통합, 아티팩트 리포지토리 및 컨테이너 레지스트리에도 적용되어야 합니다. 또한 개발자 워크스테이션에서 CI/CD 파이프라인에 이르기까지 시스템을 강화해야 합니다. 또한 강력한 ID 및 액세스 관리 정책을 시행하면서 다단계 인증을 사용하도록 설정해야 합니다. 

소프트웨어 공급망 장애로부터 보호하는 것은 고도로 상호 연결된 세상에서 다각적이고 지속적인 노력입니다. 조직은 빠르게 진화하는 최신 위협을 방어하기 위해 애플리케이션과 구성 요소의 전체 수명 주기에 걸쳐 강력한 방어 조치를 취해야 합니다.

SCW 신뢰 점수™ 사용자참고 사항 :

OWASP 상위 10 2025 표준에 맞춰 Learning Platform 콘텐츠를 업데이트함에 따라 풀스택 개발자의 신뢰 점수가 약간 조정될 수 있습니다. 궁금한 점이 있거나 지원이 필요한 경우 고객 성공 담당자에게 문의하시기 바랍니다.