OWASP Top 10 2025: 주요 변경사항
OWASP란 무엇인가
OWASP는 Open Web Application Security Project의 줄임말로 전 세계의 개발자, 보안 전문가, 기업, 교육 기관 등이 모여 웹 애플리케이션 보안을 개선하기 위해 활동하는 비영리 커뮤니티입니다. OWASP는 주로 OWASP Top 10, OWASP API Security Top 10과 같은 보안 문서를 발표하고, 오픈소스 보안 도구를 개발하며 가이드라인 및 보안 교육 자료를 제공합니다.
OWASP Top 10이란
OWASP에서 발표하는 여러 보안 문서 중에서도 OWASP Top 10은 웹 애플리케이션 보안 분야의 업계 표준으로 통용되는 가장 중요한 문서입니다. 이처럼 업계 표준으로 인정받는 위협 리스트가 있다면, 개발자와 보안 전문가는 가장 시급하게 해결해야 할 보안 위험에 우선순위를 두고 집중할 수 있습니다. OWASP Top 10은 3~4년 주기로 업데이트 되며, 가장 최근에 확정된 버전은 2021년에 발표되었습니다. 2021년에도 많은 업데이트가 있었던 만큼, 2025년 버전 역시 변화하는 위협 환경을 반영하여 여러 순위 변동이 있었습니다.
OWASP Top 10 2025 주요 위협
현재 OWASP Top 10의 2025년 버전은 Release Candidate(RC) 버전으로 공개된 상태입니다(2025년 11월 기준). 이번 버전에서는 다음과 같은 위협들이 선정되었습니다:
- A01:2025 – Broken Access Control
- A02:2025 – Security Misconfiguration
- A03:2025 – Software Supply Chain Failures
- A04:2025 – Cryptographic Failures
- A05:2025 – Injection
- A06:2025 – Insecure Design
- A07:2025 – Authentication Failures
- A08:2025 – Software or Data Integrity Failures
- A09:2025 – Logging & Alerting Failures
- A10:2025 – Mishandling of Exceptional Conditions
OWASP Top 10 2021 vs 2025
이번 OWASP Top 10 RC1 버전을 살펴보면, 완전히 새롭게 추가된 위협은 단 하나이며, 대부분은 기존 위협의 범위를 확장하여 신규 위협까지 포함하는 포괄적인 카테고리로 재구성되었습니다. 2021년 버전과 비교하여 어떤 항목들이 포함되었고 무엇이 달라졌는지 자세히 알아보겠습니다.
| 코드 | 명칭 | 설명 |
| A01:2025 | 취약한 접근 통제 (Broken Access Control) |
2021년에 이어 2025년에도 1위를 유지하며 여전히 가장 큰 위협으로 자리 잡고 있습니다. |
| A02:2025 | 보안 설정 오류 (Security Misconfiguration) |
2021년 5위에서 2위로 크게 상승했습니다. 테스트 된 애플리케이션의 약 3.00%에서 발견되었으며, 애플리케이션 설정이 점점 더 복잡하고 커스터마이징 가능해지면서 더욱 만연한 위협이 되고 있습니다. |
| A03:2025 | 소프트웨어 공급망 실패 (Software Supply Chain Failures) |
주요 신규 카테고리입니다. 2021년의 ‘취약하고 오래된 구성 요소(A06:2021)’를 확장한 개념으로, 소프트웨어 의존성, 빌드 시스템, 배포 인프라 전반의 위협을 포함합니다. 발생 빈도는 낮지만 한 번 발생하면 심각한 피해를 초래할 수 있으며, 커뮤니티 설문조사에서 압도적인 1순위 우려 사항으로 선정되었습니다. |
| A04:2025 | 암호화 실패 (Cryptographic Failures) |
2위에서 4위로 두 단계 하락했으나, 여전히 민감 데이터 노출이나 시스템 침해로 이어질 수 있는 중요한 위협입니다. |
| A05:2025 | 인젝션 (Injection) |
3위에서 5위로 두 단계 하락했습니다. XSS 인젝션부터 SQL 인젝션까지 다양한 인젝션 관련 취약점을 포함합니다. |
| A06:2025 | 안전하지 않은 설계 (Insecure Design) |
4위에서 6위로 두 단계 하락했습니다. 2021년에 처음 도입된 이후 위협 모델링 및 보안 설계에 대한 업계의 개선이 눈에 띄게 나타나고 있습니다. |
| A07:2025 | 인증 실패 (Authentication Failures) |
7위를 유지했으며 명칭이 약간 개선되었습니다. 표준화된 인증 프레임워크 사용이 증가하면서 관련 취약점 발생률이 감소하는 긍정적인 효과를 보이고 있습니다. |
| A08:2025 | 소프트웨어 및 데이터 무결성 실패 (Software or Data Integrity Failures) |
8위를 유지했습니다. 소프트웨어 공급망 실패보다 낮은 수준에서 신뢰 경계(Trust Boundaries) 유지 실패 및 소프트웨어, 코드, 데이터 아티팩트의 무결성 검증 부재에 중점을 둡니다. |
| A09:2025 | 로깅 및 경고 실패 (Logging & Alerting Failures) |
9위를 유지했으며 명칭이 업데이트 되었습니다(이전: 보안 로깅 및 모니터링 실패). 단순히 로깅만이 아니라, 로깅 이벤트에 대한 적절한 조치를 유도하는 경고(Alerting) 기능의 중요성을 강조합니다. 데이터상으로는 항상 과소평가되지만, 커뮤니티 투표를 통해 순위를 유지했습니다. |
| A10:2025 | 예외적 조건의 오처리 (Mishandling of Exceptional Conditions) |
2025년 새롭게 추가된 카테고리입니다. 부적절한 오류 처리, 논리 오류, 비정상적인 조건에서 발생하는 정보 노출 등 24가지 CWE를 포함합니다. |
OWASP Top 10 대응 방안
이번 OWASP Top 10:2025 RC1 업데이트는 웹 애플리케이션 보안의 패러다임이 ‘외부 공격 방어’를 넘어 ‘내부 설계와 신뢰성 검증’으로 확장되고 있음을 명확히 보여줍니다. 최종 확정본이 발표될 때까지 기다리기보다는, 이미 RC1에서 드러난 설계(A06), 설정(A02), 공급망(A03) 위험을 기준으로 조직의 보안 전략과 개발 프로세스를 신속히 재점검해야 합니다.
보안은 더 이상 선택이 아닌 필수적인 경쟁력이며, 웹 방화벽(WAF/WAAP)과 암호화 플랫폼은 이러한 위협들로부터 우리의 중요한 자산을 보호하는 최전방 방어선이자 심층 방어(Defense in Depth) 전략의 핵심 요소입니다.
[관련 페이지]
👉 암호 플랫폼 D.AMO 자세히 알아보기
👉 지능형 WAAP 솔루션 WAPPLES 자세히 알아보기
👉 클라우드 보안 SaaS 플랫폼 Cloudbric 자세히 알아보기