OWASP Top 10 2025: 소프트웨어 공급망 실패

기다리던 2025년 상위 10대위협 목록이 공개되면서, 기업들은 특히 주의해야 할 몇 가지 새로운 위협과 함께 상위권에 도사리고 있는 위협들을 마주하게 되었습니다. 소프트웨어 공급망 장애는 오픈 웹애플리케이션 보안 프로젝트(OWASP)가 4년마다 실시하는 웹 애플리케이션 보안 관련 가장 심각한 위험 목록에 새로운 범주로 등장했지만, 완전히 새로운 범주는 아닙니다. 이 위험은 기업이 아직 심각하게 받아들이지 않더라도 매우 심각하게 받아들여야 합니다.

소프트웨어 공급망 장애는 2021년에 이전 목록의 범주에서 제외되었습니다. 취약하고 구식인 구성 요소뿐만아니라 이제는 의존성, 빌드 시스템, 배포 인프라 등 소프트웨어 생태계 전반에 걸친 광범위한 침해가 포함됩니다. 그리고 다음과 같은 주목할 만한 공급망 공격으로 인한 피해를 고려할 때, 목록에 포함된 것은 특히 놀라운 일이 아닙니다. 솔라윈즈(SolarWinds ) 공격(2019년), 바이비트 해킹 (올해 초), 그리고 현재 진행 중인 샤이 플루드(Shai Flood) 작전(특히 까다로운 자가 복제형 npm 웜으로 공개된 개발자 환경에 큰 혼란을 초래함) 등이 대표적입니다.

OWASP Top 10은 대체로 일관성을 유지하며, 중간에 업데이트는 있지만 4년마다 목록이 발표되기에는 적합합니다. 일반적으로 목록에는 약간의 순위가 바뀝니다. 예를 들어, 오랜 기간 상위권을 유지해 온 인젝션은 3위에서 5위로 하락하고, 불안전한 설계는 2계단 내려간 6위가 되며, 보안 설정 오류는 5위에서 2위로 급상승합니다.브로큰 액세스 컨트롤은 여전히 1위 자리를 유지하고 있습니다. 2025년판에는 앞서 언급한 '소프트웨어 공급망 실패'와 '예외 조건의 부적절한 처리'라는 두 가지 신규 항목이 추가되어 10위에 랭크되었습니다. 여기서는 공급망 취약성과 관련된 새로운 항목을 자세히 살펴보겠습니다.

[비디오 보기]

취약성은 거의 어디에서나 발생할 가능성이 있다

소프트웨어 공급망 장애는 10개 항목 중 OWASP 조사 데이터에서 발생 건수가 가장 적다는 점에서 목록에서 다소 특이한 범주입니다. 다만 이 범주 내 5개 공통 취약점 목록(CWE)의 결과로, 익스플로잇과 영향도의 평균 점수도 가장 높았습니다.OWASP는 이 카테고리의 존재감이 제한적인 것은 테스트에서의 현재 과제에 기인한 것이며, 궁극적으로는 개선될 가능성이 있다고 의심하고 있습니다. 어쨌든, 조사 응답자의 압도적 다수가 소프트웨어 공급망 장애를 가장 큰 우려 사항으로 꼽고 있습니다.

가장 취약한 공급망은 상류 및 하류 파트너나 제3자가 관여하는 상호 연관된 비즈니스에서 벗어나 성장해 나가는 것입니다. 모든 상호작용에는 구성 요소(의존성 또는 라이브러리라고도 함)가 보호되지 않은 소프트웨어가 관여합니다.자사 컴포넌트(클라이언트 사이드, 서버 사이드 또는 중첩된)의 모든 버전과 (다른 라이브러리로부터의) 전이적 의존성을 추적하지 않으면, 기업이 취약해지거나 지원되지 않거나 구식이 되지 않았는지 확인할 수 없으므로 기업은 취약해질 수 있습니다.일반적으로 컴포넌트는 애플리케이션과 동일한 권한을 가지므로, 제3자 또는 오픈소스 저장소에서 제공된 컴포넌트를 포함하여 침해된 컴포넌트는 광범위하게 영향을 미칠 수 있습니다. 시기적절한 패치 적용과 업데이트가 필수적입니다. 월별 또는 분기별 정기 패치 일정으로도 기업은 며칠 또는 몇 달 동안 위험에 노출될 수 있습니다.

마찬가지로, 통합 개발 환경 (IDE)나 코드 저장소, 이미지 및 라이브러리 저장소, 또는 공급망의 다른 부분에 대한 변경 사항을 추적하지 않는 경우, 공급망에 변경 관리 프로세스가 없으면 취약점이 발생할 수 있습니다. 조직은 접근 제어와 최소 권한 정책을 적용하여 공급망을 강화해야 합니다. 이를 통해 개인이 감독 없이 코드를 작성하여 운영 환경에 배포하거나 신뢰할 수 없는 출처에서 구성 요소를 다운로드하지 못하도록 해야 합니다.

공급망 공격에는 다양한 형태가 있습니다. 이 악명 높은 SolarWinds 공격은 러시아 공격자가 해당 회사의 인기 네트워크 관리 소프트웨어 업데이트에 악성코드를 주입하면서 시작되었습니다.약 18,000명의 고객이 피해를 입었습니다. 실제로 영향을 받은 기업은 100여 개에 달했으며, 그중에는 대기업과 정부 기관도 포함되어 있었습니다. 북한까지 거슬러 올라가는 15억 달러 규모의 바이빗 해킹 사건에는 침해된 암호화폐 앱이 포함되었습니다. 최근 글래스웜 공급망 공격에는 Open VSX 마켓플레이스에 감염된 보이지 않는 자가 복제 코드가 포함되어 있었습니다.

공급망 악용 방지

공급망 공격은 시스템 간의 상호 의존성을 수반하므로, 이에 대한 방어에는 포괄적인 접근 방식이 필요합니다. OWASP는 다음과 같은 패치 관리 프로세스를 도입하는 등 공격을 방지하기 위한 팁을 제공하고 있습니다.

• 모든 소프트웨어의 소프트웨어 부품 목록(SBOM)을 파악하고 SBOM을 중앙 집중식으로 관리합니다. SPDX나 CycloneDX와 같은 표준 형식을 사용하여 나중에 SBOM을 생성하기보다는, 빌드 중에 SBOM을 생성하고 릴리스마다 최소한 하나의 기계가 읽을 수 있는 SBOM을 공개하는 것이 가장 좋습니다.
• 모든 의존성을 추적하고, 사용되지 않는 의존성을 제거하며, 불필요한 기능, 구성 요소, 파일 및 문서를 삭제합니다.
• 다음과 같은 도구를 사용하여 클라이언트 측과 서버 측 양쪽의 컴포넌트와 그 종속성을 지속적으로 인벤토리합니다. OWASP 의존성 검사기 또는 retire.js.
• 다음과 같은 원인을 지속적으로 모니터링하여 취약점에 관한 최신 정보를 확보하십시오. 일반적인 취약점 및 위험성 (CVE) 웹사이트와 국가 취약점 데이터베이스 (NVD)를 활용하여 사용 중인 구성 요소와 관련된 보안 취약점에 대한 이메일 알림을 구독하십시오.
• 안전한 링크를 통해 신뢰할 수 있는 출처에서만 얻은 구성 요소를 사용하십시오. 예를 들어, 신뢰할 수 있는 공급자라면 연구자와 협력하여 연구자가 구성 요소에서 발견한 CVE를 공개하고자 할 것입니다.
• 의도적으로 의존성 버전을 선택하고 필요한 경우에만 업그레이드하십시오. NVD와 같은 잘 알려진 출처에서 취약점이 공개된 타사 라이브러리를 사용하십시오.
• 유지 관리되지 않거나 지원되지 않는 라이브러리 및 컴포넌트를 모니터링합니다. 패치를 적용할 수 없는 경우 발견된 문제를 모니터링, 탐지 또는 보호하기 위한 가상 패치 도입을 고려하십시오.
• 개발자 도구를 정기적으로 업데이트합니다.
• CI/CD 파이프라인 내의 컴포넌트를 이 프로세스의 일부로 취급하며, 변경 사항을 문서화하면서 강화 및 모니터링합니다.

변경 관리 또는 추적 프로세스는 CI/CD 설정, 코드 저장소, 샌드박스, 통합 개발 환경(IDE), SBOM 도구, 생성된 아티팩트, 로깅 시스템 및 로그, SaaS, 아티팩트 저장소, 컨테이너 레지스트리 등의 타사 통합에도 적용되어야 합니다.또한 개발자 워크스테이션부터 CI/CD 파이프라인까지 시스템을 강화해야 합니다. 또한 강력한 ID 관리 정책과 접근 관리 정책을 적용하면서 다중 요소 인증도 활성화하십시오.

소프트웨어 공급망 장애로부터의 보호는 고도로 상호 연결된 세계에서 다각적이고 지속적인 노력입니다. 조직은 이 급속히 진화하는 현대적 위협으로부터 자신을 보호하기 위해 애플리케이션과 구성 요소의 전체 수명 주기에 걸쳐 강력한 방어 조치를 취해야 합니다.

SCW 트러스트 스코어에 관한 참고 사항™ 사용자:

OWASP Top 10 2025 기준에 맞춰 학습 플랫폼 콘텐츠를 업데이트함에 따라, 풀스택 개발자의 신뢰도 점수에 약간의 조정이 있을 수 있습니다. 문의 사항이 있거나 지원이 필요하신 경우 고객 성공 담당자에게 문의해 주십시오.