2025년 OWASP Top 10 미리보기

OWASP Top 10

OWASP(Open Web Application Security Project, 국제 웹 보안 표준기구)는 소프트웨어 보안 개선을 위한 비영리 교육 자선 단체로, 웹 애플리케이션 보안 분야에서 중요한 역할을 수행하고 있습니다.  OWASP는 약 3~4년 주기로  웹에 관한 정보 노출, 악성 파일 및 스크립트, 보안 취약점 등을 연구하며 웹 보안에서 빈도가 많이 발생하고 보안상 크게 위협이 되는 10가지 이슈인 OWASP Top 10을 발표합니다. 2025년 OWASP Top 10 미리보기

OWASP Top 10은 전 세계 보안 전문가들의 합의를 바탕으로 작성되며, 웹 애플리케이션 보안 위험에 대한 표준 인식 문서로 기능합니다. 이는 법적 구속력이 있는 공식적인 표준이나 인증 프로그램은 아니지만 사이버 보안의 기준선으로 광범위하게 활용되고 있습니다. 그동안 OWASP Top 10은 2010년, 2013년, 2017년, 2021년에 발표되었으며, 이와 같은 주기로 미루어볼 때 올 해 새로운 OWASP Top 10이 발표될 것으로 전망됩니다.

 

OWASP Top 10이 중요한 이유

현대 웹 애플리케이션은 그 복잡성과 상호 연결성이 지속적으로 증가하고 있으며, 이는 새로운 보안 취약점의 끊임없는 발생으로 이어집니다. OWASP Top 10은 이러한 진화하는 위협 환경에 대한 최신 정보를 제공함으로써, 조직이 현재 직면하고 있는 가장 중요한 위험들을 이해하고 대응할 수 있도록 돕습니다.

 

OWASP Top 10 2021

2025년 OWASP Top 10 미리보기

관련 콘텐츠: [웹 보안] 2021년 OWASP Top10

 

이전 OWASP Top 10 목록의 변화를 살펴보면, 2017년과 2021년 목록 사이의 상당한 변화는 OWASP가 진화하는 위협 환경에 얼마나 민감하게 반응하는지를 보여줍니다. 2021년부터 2025년까지의 기간 동안 기술 발전과 공격 방법의 빠른 진화 속도를 고려할 때, 2025년 목록에도 상당한 변화가 있을 것임을 예측할 수 있습니다.

 

진화하는 사이버 위협 환경 (2021-2025)

2025년 OWASP Top 10을 예측하기 위해 직접적인 영향을 미칠 가능성이 높은 주요 사이버 보안 동향을 알아보겠습니다.

A. AI/ML 기반 공격 및 AI 고유 취약점의 부상

생성형 AI는 빠르게 새로운 위협 환경으로 부상했으며, 현재까지 AI를 사용하고 있는 사업(이니셔티브)의 24%만이 보안이 확보된 상태입니다. 2027년에는 사이버 공격의 17%가 생성형 AI를 사용할 것이라고 가트너가 예상했습니다.

OWASP Top 10 for LLM Applications 2025는 프롬프트 인젝션(1위), 민감 정보 노출(2위), 공급망(3위) 등 AI 고유의 치명적인 취약점을 강조합니다. AI 에이전트형 AI 시스템은 새로운 API 위협을 형성하며, APAC 지역에서는 AI 에이전트 프로젝트의 보안 문제 중 65%가 API 관련 문제로 나타났습니다.

B. 소프트웨어 공급망 위험의 증가

공급망 침해는 급증하고 있으며, 가트너는 2025년까지 전 세계 조직의 45%가 소프트웨어 공급망 공격에 직면할 것이라고 예측합니다. 2024년에는 전체 소프트웨어 공급망의 75%가 공격을 보고했습니다. 주요 사건으로는 Kaseya 랜섬웨어 공격(2021년) 및 Okta 소셜 엔지니어링 공격(2023년) 등이 있습니다. 이러한 공격은 “취약하고 오래된 구성 요소(A06:2021)”를 더욱 중요한 범주로 만들며, CI/CD 인프라 및 타사 종속성을 포함한 전체 소프트웨어 개발 및 전달 파이프라인을 포괄하도록 범위를 확장할 수 있습니다.

C. 지속적인 클라우드 보안 문제 및 설정 오류

클라우드 채택은 계속 증가하고 있지만, 네트워크 관리 복잡성 증가, 설정 오류 위험, 그리고 부적절하게 보호된 API와 같은 문제도 함께 발생시킵니다. 퍼블릭 클라우드에서 애플리케이션을 실행할 때의 주요 보안 문제는 민감한 데이터 손실, 설정 오류 및 부적절한 보안 설정, 그리고 무단 접근입니다. 가트너는 2025년까지 클라우드 보안 실패의 99%가 주로 설정 오류로 인해 고객의 책임이 될 것이라고 예측합니다. 이는 “보안 설정 오류(A05:2021)”가 최상위 위협으로 남아 있을 뿐만 아니라, 그 중요성이 더욱 커질 수 있음을 의미합니다.

D. 치명적인 API 보안 취약점

API는 클라우드 네이티브 환경 및 AI 워크플로우를 포함한 최신 애플리케이션 아키텍처의 핵심으로 점점 더 중요해지고 있습니다. 에이전트형 AI 시스템의 부상과 소프트웨어 공급망 위험은 API 위협을 부채질하고 있습니다. 2025년 1분기 주요 API 취약점으로는 취약한 접근 통제, 인증 결함, 안전하지 않은 리소스 소비 등이 있습니다. 이는 “취약한 접근 통제(A01:2021)”, “식별 및 인증 실패(A07:2021)”, “보안 설정 오류(A05:2021)”와 같은 범주가 API 고유의 구현 및 설정 오류에 의해 크게 영향을 받을 것임을 의미합니다.

E. 새로운 IoT 보안 문제

사물 인터넷(IoT)은 2025년에 전 세계적으로 약 352억 개의 연결된 장치에 도달할 것으로 예상되며, 빠르게 확장하고 있습니다. 그러나 많은 IoT 장치는 기본적으로 보안이 취약합니다. IoT 멀웨어 감염은 2024년부터 2025년까지 전년 대비 27% 증가했습니다. 소비자 IoT 장치의 82%가 적절한 접근 제어 또는 비밀번호 보호가 부족하고, 75%는 안전하지 않은 프로토콜을 사용합니다. IoT 장치는 직접적인 웹 애플리케이션은 아니지만, 랜섬웨어 또는 중요 인프라 중단과 같은 심각한 결과를 초래하며 IT 및 운영 기술(OT) 네트워크로 확장되는 공격의 초기 접근 지점으로 자주 사용됩니다. 이는 “식별 및 인증 실패(A07:2021)” 및 “취약하고 오래된 구성 요소(A06:2021)”에 직접적으로 기여합니다.

F. 랜섬웨어, 피싱, 제로데이 익스플로잇의 지속적인 지배력

이러한 공격 기술은 여전히 근본적이고 매우 효과적이며, 종종 근본적인 취약점을 악용하는 주요 수단으로 사용됩니다. 

  • 랜섬웨어: 급증하고 있으며, 2031년까지 2초마다 공격이 발생할 것으로 예측됩니다. 2024년 사이버 공격의 59%를 차지했으며, 이 중 32%는 패치되지 않은 취약점으로 인해 발생했습니다.
  • 피싱: 모든 인적 관련 침해(breach)의 80%에서 95%는 피싱으로부터 시작합니다. 여기에 더해, AI는 피싱의 정교함을 높이고 있습니다.
  • 제로데이 공격: 2023년에 97개의 제로데이 취약점이 악용되었고, 2024년에는 75개가 악용되었습니다. 2025년 1분기에는 취약점의 25% 이상이 공개 후 24시간 이내에 악용되는 등 악용 속도가 가속화되고 있습니다.

2025년 OWASP Top 10 미리보기

2025년 OWASP Top 10 예측 

  1. 취약한 접근 통제 (Broken Access Control)

클라우드 환경, API, IoT 장치 등 현대의 분산 아키텍처 전반에서 그 유병률이 증폭되고 있어 여전히 가장 중요한 웹 애플리케이션 보안 위험으로 남아 있습니다. 즉, 접근 통제 결함의 근본적인 특성으로 인해 이 범주는 영원히 최상위 위협으로 남을 것입니다.

  1. 보안 설정 오류 (Security Misconfigurations)

이 범주는 크게 상승할 것으로 예측됩니다. 클라우드 환경에서 특히 침해의 주요 원인으로 지속적으로 식별되고 있으며, 가트너는 2025년까지 클라우드 보안 실패의 99%가 설정 오류로 인한 고객의 책임이 될 것이라고 예측합니다. 즉, 설정 오류는 현대 클라우드, API, AI 환경의 복잡성과 동적인 특성으로 인해 더욱 악화되는 지속적인 인적 오류 문제입니다.

  1. 인젝션 (Injection)

인젝션의 범위는 AI 프롬프트로 확장될 것이라 예상됩니다. 공격자가 악성 입력을 통해 AI 모델의 의사결정을 조작하거나 민감한 데이터를 유출하는 “적대적 입력” 및 “프롬프트 인젝션” 은 AI 시스템의 무결성을 훼손합니다. 즉, 전통적인 인젝션 취약점은 여전히 만연하지만, AI 시스템의 확산은 프롬프트 인젝션이라는 새로운 변종을 도입했습니다.

  1. 안전하지 않은 설계 (Insecure Design)

Insecure Design는 2021년 목록에 새로 추가되었지만, 2025년에도 그 중요성은 더욱 커질 것입니다. 특히 클라우드 네이티브 및 마이크로서비스 아키텍처의 복잡성으로 인해 보안이 설계 단계부터 충분히 고려되지 않는 경우가 많습니다.

  1. 취약하고 오래된 구성 요소 (Vulnerable and Outdated Components)

이 범주는 소프트웨어 공급망 공격의 급증으로 인해 그 중요성이 더욱 커질 것입니다. 2025년까지 전 세계 조직의 45%가 소프트웨어 공급망 공격에 직면할 것이라는 예측은 이 범주의 광범위한 영향을 보여줍니다.

  1. 식별 및 인증 실패 (Identification and Authentication Failures)

이 범주는 AI 기반 피싱 공격 및 IoT 장치의 확산으로 인해 더욱 중요해집니다. 피싱 공격은 모든 인적 관련 침해의 80-95%를 시작하며, AI는 “탐지 불가능한 피싱 공격”을 생성하여 기존 인증 메커니즘을 우회하는 데 사용될 수 있습니다. 다시 말해, AI의 발전은 피싱 공격의 정교함을 높여 전통적인 인증 메커니즘을 무력화시키고 있습니다.

  1. 소프트웨어 및 데이터 무결성 실패 (Software and Data Integrity Failures)

이 범주는 소프트웨어 공급망 공격 및 AI 시스템과의 상호 작용으로 인해 그 범위가 확장됩니다. 공급망 공격은 악성 페이로드를 소프트웨어 업데이트에 주입하거나 CI/CD 파이프라인을 침해하여 소프트웨어 무결성을 훼손합니다. AI 모델의 “데이터 오염” 은 훈련 데이터의 무결성을 손상시킬 수 있습니다.

  1. 보안 로깅 및 모니터링 실패 (Security Logging & Monitoring Failures)

공격의 규모와 속도가 증가하면서 전통적인 로깅 및 모니터링 방법은 더 이상 충분하지 않습니다. 공격의 양과 속도가 증가하고, AI 기반 자율 멀웨어 및 IoT 봇넷 과 같은 자동화된 공격이 확산됨에 따라 이 범주의 중요성이 더욱 커집니다. 2025년 1분기에 취약점의 25% 이상이 공개 후 24시간 이내에 악용된다는 점 은 빠른 탐지 및 대응의 필요성을 강조합니다. 

  1. API 보안 위험 (API Security Risks)

API는 모든 종류의 공격에 대한 보편적인 진입점이 되고 있습니다. 기존의 웹 애플리케이션 보안 관행은 API의 고유한 특성을 완전히 다루지 못합니다. API는 현대 애플리케이션의 핵심이며, “API는 공격 표면의 일부가 아니라 공격 표면 그 자체”라는 인식이 확산되고 있습니다.

  1. AI/ML 시스템 취약점 (AI/ML System Vulnerabilities)

AI는 단순히 기존 위협을 증폭시키는 것을 넘어, 새로운 종류의 공격 표면과 고유한 취약점 클래스를 도입하고 있습니다. AI 시스템의 급속한 채택과 함께 프롬프트 인젝션, 데이터 오염, 모델 역변환 및 추출, 시스템 프롬프트 유출 등 AI 고유의 새로운 취약점들이 등장하고 있습니다. LLM을 위한 별도의 OWASP Top 10이 존재한다는 사실은 이러한 위험이 기존 웹 애플리케이션 범주에 완전히 포함될 수 없을 만큼 독특하고 중요함을 나타냅니다.

2025년 OWASP Top 10 미리보기

2025년 OWASP Top 10은 웹 애플리케이션 보안의 핵심 원칙이 여전히 유효하지만, AI, 클라우드, API, IoT와 같은 신기술이 도입하는 새로운 복잡성과 공격 벡터를 반영하여 그 범위와 초점이 크게 진화할 것임을 시사합니다. “취약한 접근 통제” 및 “보안 설정 오류”와 같은 지속적인 문제들은 현대의 분산 환경에서 더욱 심화될 것이며, “취약하고 오래된 구성 요소”는 공급망 공격의 시스템적 특성으로 인해 더욱 중요해질 것으로 전망됩니다.

펜타시큐리티의 와플(WAPPLES)은 진화하는 웹 위협 환경에 최적화된 웹 애플리케이션 및 API 보안 솔루션으로, 최신 OWASP Top 10을 비롯한 다양한 공격에 즉각적으로 대응합니다. 자체 개발한 지능형 탐지 엔진 COCEP과 머신러닝 기반 자가 점검 기능을 통해 알려지지 않은 공격에도 낮은 오탐률과 높은 정확도로 방어하며, API 보안·Bot 완화·DoS 방어 등 현대 웹 서비스에 필수적인 기능을 통합적으로 제공합니다.

WAPPLES은 클라우드 환경과 온프레미스 모두에서 안정적으로 운영되며, 글로벌 약 70만 비즈니스를 안전하게 보호하고 있습니다. 또한 국내 17년 연속 시장점유율 1위는 물론 글로벌 시장조사 전문기관 가트너와 포레스터 등 글로벌 시장에서도 그 기술력을 인정받고 있습니다. 지속적으로 변화하는 웹 및 API 환경에서 실질적인 보호를 제공하는 WAPPLES과 함께 기업의 웹 서비스와 데이터를 더욱 안전하게 보호하세요.

 

👉 웹 애플리케이션 및 API 보안 솔루션 WAPPLES 자세히 알아보기

 

 

☑️ 암호기술 기반 보안전문회사, 펜타시큐리티(Penta Security)

.