728x90
반응형
2025년도 목록은 기존의 코드 중심 취약점뿐 아니라 공급망·설계·환경 구성 등 시스템 전반의 구조적 위험을 강조하고, 특히 외부 의존성, 빌드/배포 체계, 예외 처리 같은 운영적 요소에 대한 관심이 크게 확대된 점이 특징임
Introducing the OWASP Top 10:2025
- A01:2025 - Broken Access Control
- A02:2025 - Security Misconfiguration
- A03:2025 - Software Supply Chain Failures
- A04:2025 - Cryptographic Failures
- A05:2025 - Injection
- A06:2025 - Insecure Design
- A07:2025 - Authentication Failures
- A08:2025 - Software or Data Integrity Failures
- A09:2025 - Logging & Alerting Failures
- A10:2025 - Mishandling of Exceptional Conditions
(2025년 New)
- 소프트웨어 공급망 취약점(A03): 의존성, 빌드 시스템, 배포 인프라, 악성 패키지 등 현대적 공격 기법을 반영해 대폭 확장됨.
- 예외 처리 실패(A10): 오류 발생 시 적절히 대응하지 못하는 문제가 주요 카테고리로 새롭게 포함됨.
- 통합 변화: 2021년의 *SSRF 항목이 접근 제어(A01)*에 통합되면서 별도 카테고리로는 사라짐.
OWASP Top 10:2025 (한국어 요약 표)
| 순위 | 항목 | 설명 |
| A01:2025 | Broken Access Control | 권한 우회, 비인가 접근 등 접근 제어 실패 문제. |
| A02:2025 | Security Misconfiguration | 취약한 기본값, 노출된 설정, 환경 간 보안 불일치 등 구성 오류. |
| A03:2025 | Software Supply Chain Failures | 의존 라이브러리, CI/CD, 빌드·배포 도구, 패키지 레지스트리 등 공급망 요소의 취약점. |
| A04:2025 | Cryptographic Failures | 부실한 암호화, 키 관리 문제, 취약한 프로토콜 사용. |
| A05:2025 | Injection | SQL/OS/템플릿 등 다양한 인젝션 취약점. |
| A06:2025 | Insecure Design | 충분히 검증되지 않은 아키텍처·설계 단계의 약점. |
| A07:2025 | Authentication Failures | 로그인·세션 처리 문제로 인한 사용자 가장 위험. |
| A08:2025 | Software or Data Integrity Failures | 코드·데이터·아티팩트 무결성 부족, 공급망보다 낮은 계층의 무결성 문제 포함. |
| A09:2025 | Logging & Alerting Failures | 부족한 로깅·경보로 인해 침해 탐지·대응 어려움. |
| A10:2025 | Mishandling of Exceptional Conditions | 새로운 항목. 예외·오류 처리 미흡으로 인한 보안 위험. |
https://owasp.org/Top10/2025/0x00_2025-Introduction/
728x90
'03.Security' 카테고리의 다른 글
| LLM - OWASP LLM 취약점 Top 10 (2024,2025) (0) | 2025.11.15 |
|---|---|
| LLM - 보안 - 보안 에이전트 (0) | 2025.11.05 |
| 인공지능 - 보안 - LLM 가드레일 (0) | 2025.10.28 |
| 인공지능 - 보안 - 레드 팀 (Red Team) (0) | 2025.10.28 |
| 인공지능 - 보안 (20) | 2025.10.28 |
