OWASP란?

OWASP란?

The Open Web Application Security Project의 약어로 안전한 웹 및 어플리케이션을 개발할 수 있도록 지원하기 위해 미국에서부터 시작된 비영리 단체이며, 오픈소스 웹 어플리케이션 보안 프로젝트를 진행하는 단체이다. 주로 웹에 관련된 보안 취약점과 악성 스크립트와 같은 보안관련 연구를 진행하며 연구 결과에 따라 취약점 발생빈도가 높은 10가지 취약점을 공개한다. 이렇게 공개된 10가지 취약점은 영향력이 강한편이어서 모의해킹이나 취약점 점검에서 기준이 되기도 한다. 이렇게 기준이 되는 문서이다보니 빠른 업데이트가 되지 않으면 더 많은 취약점이 발견되기 마련이다. 2017년에 2013년 문서를 가지고 취약점 점검을 해야한다는 그런 이야기다.

최근 OWASP의 활동이 조용했다가 이번 2017년에 다시 TOP 10 취약점을 발표했다. 한동안 잠적했던 OWASP측에서 발표한 이유는 취약점이 극적으로 달라지지 않았기 때문에 따로 발표하지 않았다고 한다. 실제로 그동안 꾸준히 업데이트되던 항목들도 비슷비슷하다. SQL인젝션과 XSS 등 유명 취약점임에도 불구하고 꾸준히 OWASP TOP 10 상위권에 드는 취약점들이 있기 때문이다.

왜 유명 취약점임에도 상위권에 계속 있는가? 라는 의문이 들 수 있다. 이를 학창시절때 타이거팀이라는 기업에서 인터뷰를 진행했던 기억을 떠올려 말해보면 우선 같은 취약점에도 수많은 우회기법과 다양한 공격방법이 존재하기 때문에 쉽게 막기가 힘들다는 이유와 개발자들이 일의 효율성을 위해 기존의 코드를 그대로 쓰는 경향이 있기 때문이라고 한다. 사실 하나의 소프트웨어를 개발할때 하나부터 열까지 직접 코딩하는 경우는 그리 많지 않다고 한다. 이전 버전에서 꽤 유용했던 코드가 있다면 가져다 씀으로써 일의 효율성을 높이는것이다. 이것이 나쁘다고 할 수 없는것이지만 이전버전의 취약점이 그대로 따라올 수 있기 때문에 조심해야한다.