2025년 OWASP 상위 10대 취약점: 소프트웨어 공급망 결함

2025년 OWASP 상위 10대 취약점이 발표되면서 기업들은 특히 주의해야 할 몇 가지 새로운 위협에 직면하게 되었으며, 그중 하나가 목록 최상위에 올랐습니다. 소프트웨어 공급망 결함은 완전히 새로운 범주는 아니지만 새롭게 등장한 항목으로, 웹 애플리케이션 보안 프로젝트(OWASP)가 4년마다 발표하는 웹 애플리케이션 보안에 대한 가장 심각한 위험 목록에서 3위를 차지했습니다. 기업들은 아직 심각하게 받아들이지 않고 있다면, 이 위험을 매우 경계해야 합니다.

소프트웨어 공급망 결함은 2021년부터 이전 목록의 '취약하고 오래된 구성 요소' 범주에서 분리되어, 이제 소프트웨어 의존성 생태계 전반, 빌드 시스템 및 배포 인프라에 걸친 더 광범위한 취약점을 포함합니다. 이 목록에 포함된 것이 특별히 놀랍지 않은 이유는, 2019년 '태양풍(Solarwinds) ' 공격, 올해 초 '바이빗(Bybit) 해킹', 그리고 현재 진행 중인 '샤이-훌루드(Shai-Hulud)' 캠페인과 같은 공급망 공격이 초래하는 피해 규모 때문입니다. 특히 '샤이-훌루드'는 노출된 개발자 환경을 파괴하는 매우 악성인 npm 웜으로, 스스로 복제하는 특성을 지닙니다.

일반적으로 OWASP 상위 10개 취약점은 4년마다 발표되는 목록과 일치하며 중간 업데이트가 이루어집니다. 일반적으로 목록에는 일부 변화가 있습니다: 오랜 기간 상위권을 유지해 온 '주입(Injection)'은 3위에서 5위로 하락했으며, '안전하지 않은 설계(Insecure Design)'는 2계단 하락해 6위를 기록했습니다. 반면 '보안 오구성(Security Misconfiguration)'은 5위에서 2위로 상승했습니다. 불완전한 접근 제어는 여전히 1위를 차지하고 있습니다. 2025년판에는 두 가지 새로운 항목이 추가되었는데, 앞서 언급한 소프트웨어 공급망 실패와 예외 상황 처리 오류가 10위로 새롭게 진입했습니다. 이어서 공급망 취약점에 관한 신규 항목을 자세히 살펴보겠습니다.

[동영상 보기]

취약점은 거의 모든 곳에서 나타날 수 있습니다

소프트웨어 공급망 결함은 이 목록에서 다소 특이한 범주입니다. 10개 항목 중 OWASP 연구 데이터에서 사례 수가 가장 적지만, 해당 범주의 5개 공통 취약점 분류(CWE) 항목으로 인해 악용 및 영향도 평균 점수가 가장 높기 때문입니다. OWASP는 이 범주의 제한된 존재가 현재 이를 테스트하는 데 어려움이 있기 때문이라고 의심하며, 시간이 지나면 개선될 수 있다고 지적했습니다. 어쨌든 응답자들은 압도적으로 소프트웨어 공급망 결함이 주요 우려 사항 중 하나라고 언급했습니다.

공급망 취약점의 대부분은 상류 및 하류 파트너와 제3자를 포함하는 비즈니스의 상호 연결된 특성에서 비롯됩니다. 각 상호작용에는 구성 요소(의존성 또는 라이브러리라고도 함)가 포함된 소프트웨어가 관여하며, 이 구성 요소들은 보호되지 않을 수 있습니다. 기업은 자체 구성 요소(클라이언트 측, 서버 측 또는 중첩된 구성 요소)와 전이적 의존성(다른 라이브러리에서 유래)의 모든 버전을 추적하여 취약하지 않고 호환되며 최신 상태인지 확인하지 않으면 취약해질 수 있습니다. 구성 요소는 일반적으로 애플리케이션과 동일한 권한을 가지므로, 제3자 또는 오픈소스 저장소에서 유래한 취약한 구성 요소는 광범위한 영향을 미칠 수 있습니다. 패치와 업데이트를 제때 적용하는 것이 매우 중요합니다. 월간 또는 분기별 정기 패치 프로그램조차도 기업을 수일 또는 수개월 동안 노출된 상태로 둘 수 있습니다.

마찬가지로, 공급망에 대한 변경 관리 프로세스가 부재할 경우 통합 개발 환경(IDE)이나 코드 저장소, 이미지 저장소 및 라이브러리 또는 공급망의 다른 부분에서의 변경 사항을 추적하지 않으면 취약점이 발생할 수 있습니다. 조직은 접근 제어 정책과 최소 권한 원칙을 적용하여 공급망을 강화해야 합니다. 이를 통해 누구도 감독 없이 코드를 생성하여 프로덕션에 배포할 수 없도록 하고, 신뢰할 수 없는 출처에서 구성 요소를 다운로드할 수 없도록 보장해야 합니다.

공급망 공격은 다양한 형태로 발생할 수 있습니다. 유명한 SolarWinds 공격은 러시아 해커들이 해당 기업의 인기 네트워크 관리 소프트웨어 업데이트에 악성코드를 삽입하면서 시작되었습니다. 약 18,000명의 고객이 피해를 입었으며, 실제 영향을 받은 기업 수는 100여 개에 달했지만 이 목록에는 주요 기업과 정부 기관이 포함되었습니다. 15억 달러의 피해를 입힌 바이빗 해킹 사건은 북한과 연관되어 있으며, 해킹된 암호화폐 애플리케이션이 관련되었습니다. 최근 발생한 '크리스탈 웜' 공급망 공격은 Open VSX 마켓플레이스를 감염시킨 보이지 않는 자가 복제 코드를 활용했습니다.

공급망 취약점 예방

공급망 공격은 시스템 간 상호 의존성을 수반하므로, 이에 대한 방어는 포괄적인 접근이 필요합니다. OWASP는 공격 방지를 위한 권고 사항을 제시하며, 여기에는 다음을 위한 패치 관리 프로세스 구현이 포함됩니다:

• 모든 소프트웨어에 대한 소프트웨어 재료 명세서(SBOM)를 파악하고 SBOM을 중앙 집중식으로 관리하십시오. 컴파일 단계에서 SBOM을 생성하는 것이 이후에 생성하는 것보다 더 좋으며, SPDX 또는 CyclonedX와 같은 표준 형식을 사용하고 버전당 최소한 하나의 기계가 읽을 수 있는 SBOM을 게시하십시오.
• 모든 종속성(전달 종속성 포함)을 추적하고, 사용되지 않는 종속성과 불필요한 기능, 구성 요소, 파일 및 문서를 제거하십시오.
• 클라이언트 측 및 서버 측 구성 요소와 그 종속성을 OWASP 종속성 검사기나 remove.js 같은 도구를 사용하여 지속적으로 점검하십시오.
• 보안 취약점에 대한 최신 정보를 확인하고, CVE( 공통 취약점 및 노출 ) 및 NVD( 국가 취약점 데이터베이스 ) 웹사이트와 같은 소스를 지속적으로 모니터링하십시오. 또한 사용 중인 구성 요소와 관련된 보안 취약점에 대한 이메일 알림을 구독하십시오.
• 신뢰할 수 있는 출처에서만 얻은 구성 요소를 안전한 링크를 통해 사용하십시오. 예를 들어, 신뢰할 수 있는 공급자는 연구원이 구성 요소에서 발견한 CVE를 공개하기 위해 연구원과 협력할 의사가 있을 것입니다.
• 의도적으로 사용할 종속성 버전을 선택하고 필요한 경우에만 업데이트하십시오. NVD와 같은 신뢰할 수 있는 출처에 취약점이 공개된 제3자 라이브러리를 사용하십시오.
• 유지 관리되지 않거나 호환되지 않는 라이브러리와 구성 요소를 모니터링하십시오. 패치를 적용할 수 없는 경우, 발견된 문제를 모니터링, 탐지 또는 보호하기 위해 가상 패치를 구현하는 것을 고려하십시오.
• 개발자 도구를 정기적으로 업데이트하십시오.
• CI/CD 파이프라인의 구성 요소를 이 프로세스의 일부로 취급하여 변경 사항을 문서화하는 동시에 이를 강화하고 모니터링하십시오.

변경 관리 또는 추적 프로세스는 CI/CD 구성, 코드 저장소, 테스트 환경, 통합 개발 환경(IDE), SBOM 도구, 생성된 아티팩트, 레지스트리 및 로그 시스템, SaaS와 같은 타사 통합, 아티팩트 저장소 및 컨테이너 레지스트리에도 적용되어야 합니다. 개발자 워크스테이션부터 CI/CD 프로세스에 이르기까지 시스템 보안을 강화해야 합니다. 다중 요소 인증을 활성화하는 동시에 강력한 ID 및 접근 관리 정책을 적용해야 합니다.

소프트웨어 공급망 결함에 대한 방어는 고도로 상호 연결된 현대 사회에서 지속적이고 다각적인 노력을 요구합니다. 조직은 이 현대적이며 빠르게 진화하는 위협으로부터 방어하기 위해 애플리케이션 및 구성 요소의 전체 수명 주기 동안 견고한 방어 조치를 취해야 합니다.

SCW 신뢰도 점수™ 사용자참고 사항 :

OWASP Top 10 2025 표준에 맞춰 학습 플랫폼 콘텐츠를 업데이트함에 따라, 풀스택 개발자의 신뢰도 점수에 약간의 조정이 있을 수 있습니다. 궁금한 점이 있거나 도움이 필요하시면 고객 성공 담당자에게 문의해 주십시오.