OWASP 및 모바일 OWASP

OWASP 및 모바일 OWASP

 

OWASP는 The Open Web Application Security Project의 약자로 오픈 소스 웹 애플리케이션 보안 프로젝트이다. 주로 웹에 관한 정보 노출, 악성 파일 및 스크립트, 보안 취약점 등을 연구하며, 웹 애플리케이션의 취약점 중에서 빈도가 많이 발생하고, 보안상 영향을 크게 줄 수 있는 것들의 10대 취약점들을 발표한다. 3년 정도를 거치면서 10대 취약점들을 변경해 나가면서 적절한 정보를 제공하고자 한다.

OWASP는 무상으로 어플리케이션 보안 도구와 표준, 보안성 시험, 안전한 코드 개발 등을 지원하고 있다. 상업적인 목적이나 이윤 압박이 없기 때문에, 어플리케이션 보안에 대해 공정하고, 실질적이고, 효율적인 정보를 제공할 수 있게 한다.

현재 최신 버전은 올해인 2017년 재작된 자료이다. OWASP Top 10 2017은 주로 8개의 컨설팅 회사와 3개의 제품 공급 업체를 포함하여 어플리케이션 보안 전문 업체의 11개 대형 데이터셋을 기반으로 한다.

공격자들은 어플리케이션을 통해 잠재적인 많은 경로를 이용하여 사업이나 조직에 피해를 입힌다. 하지만 어떤 경로들은 미미한 영향을 미쳐 공격 효과가 거의 없을 수도 있고, 다른 경우에는 엄청난 피해를 입히는 위협적인 공격일 수도 있다. 또한 경로를 찾는 과정이 어려운 공격이 있을 수 있고 쉬운 공격이 있을 수 있다. OWASP Top 10은 광범위한 조직의 가장 심각한 위험을 식별하는데 초점을 맞추고 있다. OWASP Risk Rating Methodology에 기초하여 평가표를 통해 위험에 대한 가능성과 기술적인 영향에 관한 포괄적인 정보를 제공한다.

그러면 OWASP에서 제공하는 Top 10 2017에 대해서 살펴보도록 하자

어플리케이션 및 API를 위한 위협 요소가 끊임없이 변화하고 있다. 이러한 변화의 핵심 요소는 새로운 기술의 빠른 수용, Agile과 Devop과 같은 소프트웨어 개발 프로세스의 가속화 및 자동화 등이라고 할 수 있다. 이러한 요인으로 인해 어플리케이션과 API를 분석하기가 더 어려워지고, 이를 통해 위협 요소는 크게 변경할 수 있다. 2013년과 2017년의 OWASP Top 10을 비교해보면 A4(취약한 직접 개체 참조)와 A7(기능 수준의 접근 통제 누락)을 통합시켜 2017년에는 A4(취약한 접근 통제)로 바뀌었다. 그리고 A7(공격 방어 취약점)과 A10(취약한 API)를 새로 신설하면서 새로운 기술에 대한 새로운 위협에 대해 순위를 선정하였다.

 

대부분의 앱이 서버와 통신으로 이루어지고 개발시 하이브리드 앱으로 많이 개발되기 때문에 클라이언트에서 파라미터 값 변조를 통한 웹에서 발생할 수 있는 취약점들이 도출될 수 있다. OWASP에서는 이 부분에 대해 OWASP Mobile Top 10을 따로 만들어 이러한 취약점들에 대해 시사를 해주고 있다. OWASP Mobile Top 10의 경우에는 최신 버전이 2016년 버전이 존재한다.

 

물론 OWASP와 OWASP Mobile에서 공표한 Top 10의 취약점에 대해 잘 파악하여 보안을 유지하여야 하지만 취약점이 위의 10가지만 존재하는 것이 아니다. 따라서 취약점을 효과적으로 발견하는 다른 방법들에 대해서도 연구를 계속해서 보안을 해야할 필요가 있다.

출처 - OWASP