OWASP Top 10 2025: 소프트웨어 공급망 결함

OWASP 2025년 상위 10대 위협이 기대 속에 발표되면서, 기업들은 특히 주의해야 할 일련의 새로운 위협에 직면하게 되었습니다. 그중 하나가 목록 최상위에 자리 잡고 있습니다. 소프트웨어 공급망 결함은 새로운 범주로 도입되었지만 완전히 새로운 것은 아니며, 오픈 웹 애플리케이션 보안 프로젝트(OWASP)가 선정한 웹 애플리케이션에 대한 가장 심각한 보안 위험 4년 연속 목록에서 3위를 차지했습니다. 기업들은 아직 심각하게 여기지 않고 있다면, 이 위험을 매우 심각하게 받아들여야 합니다.

소프트웨어 공급망 결함은 2021년 이전 목록의 한 범주에서 파생되었습니다. 취약하고 구식인 구성 요소로 시작하여, 이제는 의존성, 빌드 시스템, 배포 인프라 등 소프트웨어 생태계 전반에 걸친 더 광범위한 취약점을 포괄합니다. 이 항목이 목록에 등장한 것은 공급망에 대한 고위급 공격으로 인한 피해 규모를 고려할 때 그리 놀랍지 않습니다. 2019년 SolarWinds 사건, 올해 초 발생한 Bybit 해킹, 그리고 현재 진행 중인 Shai-Hulud 캠페인이 대표적입니다. 노출된 개발자 환경에서 혼란을 야기하는 특히 교활한 자가 복제형 npm 웜입니다.

OWASP Top Ten은 일반적으로 4년마다 발표되는 목록에 걸맞게 일관성을 유지해 왔으며, 중간에 업데이트가 이루어지기도 합니다. 일반적으로 목록 내 순위 변동이 발생하는데, 예를 들어 오랜 기간 상위권을 유지해 온 '주입(Injection)'은 3위에서 5위로 하락했고, '불안전한 설계(Insecure Design)'는 2계단 하락한 6위를 기록한 반면, '보안 오구성(Security Misconfiguration)'은 5위에서 2위로 상승했습니다. 손상된 접근 제어는 여전히 1위 자리를 지키고 있습니다. 2025년판에는 두 가지 새로운 항목이 추가되었습니다: 앞서 언급한 소프트웨어 공급망 취약점과 예외 처리 오류로, 각각 목록의 10위를 차지했습니다. 여기서 우리는 공급망 취약점이라는 새로운 항목을 자세히 살펴보겠습니다.

[동영상 보기]

보안 취약점은 거의 어디에서나 발생할 수 있습니다

소프트웨어 공급망 실패는 이 목록에서 다소 특이한 범주입니다. OWASP 연구 데이터에서 10개 항목 중 가장 적은 발생 빈도를 보였지만, 동시에 이 범주에 속한 다섯 가지 공통 취약점 열거(CWE)에서 도출된 평균 익스플로잇 및 영향 점수가 가장 높았기 때문입니다. OWASP는 이 범주의 제한된 존재감이 현재 해당 범주 테스트 시 발생하는 어려움 때문이라고 추정하며, 이는 궁극적으로 개선될 수 있을 것으로 보고 있습니다. 그럼에도 불구하고 설문 응답자들은 압도적 다수로 소프트웨어 공급망 실패를 주요 문제점으로 지목했습니다.

공급망의 대부분의 보안 취약점은 상류 및 하류 파트너와 제3자가 참여하는 비즈니스 활동의 연결성에서 비롯됩니다. 모든 상호작용에는 구성 요소(의존성 또는 라이브러리라고도 함)가 보호되지 않을 수 있는 소프트웨어가 포함됩니다. 기업은 자체 구성 요소(클라이언트 측, 서버 측 또는 중첩된 구성 요소)의 모든 버전과 다른 라이브러리의 전이적 종속성을 추적하여 취약하지 않고 지원되지 않거나 구식이 아닌지 확인하지 않으면 취약해질 수 있습니다. 구성 요소는 일반적으로 애플리케이션과 동일한 권한을 가지므로, 제3자 또는 오픈소스 저장소에서 유래한 취약한 구성 요소는 광범위한 영향을 미칠 수 있습니다. 시기적절한 패치와 업데이트는 필수적입니다. 정기적인 월간 또는 분기별 패치 계획조차도 기업이 며칠에서 몇 달 동안 위험에 노출될 수 있습니다.

또한 공급망에서 변경 관리 프로세스가 부재할 경우, 통합 개발 환경(IDE)이나 코드 저장소, 이미지 및 라이브러리 저장소 또는 공급망의 다른 부분에 대한 변경 사항을 추적하지 못하면 보안 취약점이 발생할 수 있습니다. 기업은 접근 제어 및 최소 권한 원칙을 적용하여 공급망을 보호해야 합니다. 이를 통해 누구도 코드를 생성하여 무단으로 프로덕션 환경에 배포할 수 없도록 하고, 신뢰할 수 없는 출처에서 구성 요소를 다운로드할 수 없도록 보장해야 합니다.

공급망 공격은 다양한 형태로 발생할 수 있습니다. 악명 높은 SolarWinds 공격은 러시아 해커들이 해당 기업의 인기 네트워크 관리 소프트웨어 업데이트에 악성코드를 심으면서 시작되었습니다. 약 18,000명의 고객이 피해를 입었으며, 실제 영향을 받은 기업 수는 100여 개에 불과했지만 이 목록에는 대기업과 정부 기관도 포함되었습니다. 북한의 소행으로 추정되는 15억 달러 규모의 바이빗 해킹 사건은 해킹된 암호화폐 앱을 통해 발생했습니다. 최근 글래스웜 공급망 공격에서는 보이지 않는 자가 복제 코드가 사용되어 오픈 VSX 마켓플레이스를 감염시켰습니다.

공급망 내 악용 방지

공급망 공격은 시스템 간의 상호 의존성을 노리기 때문에, 이러한 공격을 방어하려면 포괄적인 접근 방식이 필요합니다. OWASP는 공격 방지를 위한 팁을 제공하며, 여기에는 다음을 위한 패치 관리 프로세스 구축이 포함됩니다:

• 전체 소프트웨어에 대한 소프트웨어 부품 목록(SBOM)을 확인하고 중앙에서 관리하십시오. 빌드 과정에서 SPDX 또는 CyclonedX와 같은 표준 형식을 사용하여 SBOM을 생성하고, 각 버전당 최소한 하나의 기계 판독 가능 SBOM을 공개하는 것이 권장됩니다.
• 모든 종속성(전이적 종속성 포함)을 추적하고, 사용되지 않는 종속성과 불필요한 기능, 구성 요소, 파일 및 문서를 제거하십시오.
• OWASP 의존성 검사나 retire.js 같은 도구를 사용하여 클라이언트 측 및 서버 측 구성 요소와 그 의존성을 지속적으로 파악하십시오.
• 보안 취약점에 대한 최신 정보를 지속적으로 확인하고, 자주 발생하는 취약점 및 보안 취약점 (CVE) 웹사이트, 국가 취약점 데이터베이스 (NVD) 등의 출처를 지속적으로 모니터링하십시오. 또한 사용 중인 구성 요소와 관련된 보안 취약점에 대한 이메일 알림을 구독하십시오.
• 신뢰할 수 있는 출처에서 안전한 링크를 통해만 구성 요소를 사용하십시오. 신뢰할 수 있는 공급자는 예를 들어 연구자가 구성 요소에서 발견한 CVE를 공개하기 위해 연구자와 협력할 의사가 있어야 합니다.
• 의도적으로 사용하려는 종속성의 버전을 선택하고, 필요한 경우에만 업그레이드를 수행하십시오. 보안 취약점이 NVD와 같은 신뢰할 수 있는 출처에 공개된 타사 라이브러리를 사용하십시오.
• 라이브러리 및 구성 요소가 유지 관리되지 않거나 지원되지 않는지 모니터링하십시오. 패치 적용이 불가능한 경우, 발견된 문제를 모니터링, 탐지 또는 방지하기 위해 가상 패치를 배포하는 것을 고려해야 합니다.
• 개발자 도구를 정기적으로 업데이트하십시오.
• CI/CD 파이프라인 내 구성 요소를 이 프로세스의 일부로 취급하여 강화 및 모니터링하고 동시에 변경 사항을 문서화하십시오.

변경 관리 또는 추적 프로세스는 CI/CD 설정, 코드 저장소, 샌드박스, 통합 개발 환경(IDE), SBOM 도구, 생성된 아티팩트, 로깅 시스템 및 로그, SaaS와 같은 타사 통합, 아티팩트 저장소, 컨테이너 레지스트리에도 적용되어야 합니다. 개발자 작업 환경부터 CI/CD 파이프라인에 이르기까지 시스템을 보호해야 합니다. 다중 요소 인증을 활성화하는 동시에 엄격한 신원 및 접근 관리 정책을 시행해야 합니다.

소프트웨어 공급망 장애로부터의 보호는 우리 세계가 고도로 연결된 환경임을 고려할 때 다층적이고 지속적인 과제입니다. 기업들은 애플리케이션과 구성 요소의 전체 수명 주기 동안 강력한 방어 조치를 취하여 이처럼 빠르게 진화하는 현대적 위협으로부터 스스로를 보호해야 합니다.

SCW Trust Score™ 사용자참고 사항 :

OWASP Top 10 2025 표준에 맞춰 학습 플랫폼 콘텐츠를 업데이트하는 동안, 풀스택 개발자의 신뢰도 점수에서 약간의 변동이 있을 수 있습니다. 문의 사항이나 지원이 필요하시면 담당 고객 관리자에게 문의해 주십시오.