OWASP Top10 2025 RC: 최신 웹 애플리케이션 보안 전망과 주요 변화

OWASP Top10 2025의 RC(Release Candidate) 버전이 공개되었다. 이번 2025년판은 이전 에디션과 달리, 두 가지 새로운 카테고리가 추가되고 기존 항목이 통합되는 등의 구조적인 변화를 보여 준다. 이번 2025 RC는 OWASP Top10의 8번째 개정판으로, 데이터 기반 위험 분석을 한층 강화하는 동시에 기존 버전에서 제기된 여러 한계점을 보완하려는 시도가 돋보인다.

이번 기사는 OWASP Top10 2025 파일에서 제공한 주요 논지와 구체적인 숫자, 평가 방식 등의 세부적인 내용을 살펴본다. 그리고 이를 기반으로 OWASP Top10을 어떻게 바라보고 활용해야하는지 살펴본다.

2025 Top10의 표면적 변화 — 새로운 항목, 통합된 항목, 순위 변화

2025년 버전에서는 2개의 신규 카테고리 등장, 1개의 카테고리 통합이 이루어지며 전반적인 순위 재편이 있었다. 2021년 대비 주요 변화는 다음과 같다.

• 하락
  • Cryptography Failure: A2(2021) → A4(2025)
  • Injection: A3(2021) → A5(2025)
  • Insecure Design: A4(2021) → A6(2025)
• 상승 및 개편
  • Security Misconfiguration: A5(2021) → A2(2025)
  • Vulnerable and Outdated Components → Software Supply Chain Failures(A3:2025) 로 전면 재구성

이러한 변화는 실제로 최근 공급망 공격과 로깅 부재로 인한 사고가 대폭 늘어난 현실을 반영하기 위해 도입된 것으로, OWASP가 그간 산업과 커뮤니티에서 수집한 최신 데이터에 기반한 결정으로 풀이된다.

데이터 기반 접근: 테스트 애플리케이션과 CWE 분포

OWASP Top10 2025 RC는 역대 최다 데이터 기반으로 분류되었다. OWASP Top10 2025 RC에서는 집계 방식과 데이터 수집 방법에서도 더욱 세밀화된 접근법을 취했다. 175,000개 이상의 CVE데이터를 분석했으며 이 중 643개의 CWE와 직접 매핑했다. 2021년 대비 CVE 기반 분석량 40% 증가(125K → 175K)한 수치이다. CWE 맵핑에 대한 세부 내용을 요약하면 다음과 같다.

• OWASP는 2021년부터 해마다 수천 개의 웹 애플리케이션을 테스트하면서 발견된 CWE 사례를 집계하였다.
• CVE→CWE 매핑 개수 241개(2021) → 643개(2025) 로 약 2.6배 확대되었으며 CWE 전체(944개)의 68.12%를 커버하는 수치이다.
• 2025 RC 기준, Top10 각 카테고리에는 평균 25개의 CWE가 포함되었고, 최소 5개(A02: Supply Chain Failures). 최대 40개(A01: Broken Access Control)의 CWE를 포함한다

추가로 OWASP는 MITRE Top25처럼 “단일 CWE 열거 방식”을 채택하지 않는 이유를 아래와 같이 설명하고 있었으며 이와 같은 이유로 인해 “카테고리–다중 CWE 매핑” 방식을 고수하고 있다.

1. 모든 언어·프레임워크가 동일한 CWE를 가지고 있지 않다.
2. 실제 취약점은 여러 CWE가 연계된 형태로 발견되는 경우가 많다.

근본 원인(Root Cause) 중심 배치와 위험 점수 산정 방식

OWASP는 이번 버전에서 기존의 증상(Symptom) 중심 항목들을 과감히 배제하고, 근본 원인(Root Cause) 만으로 목록을 구성했다. 예를 들어 기존 버전에서 자리하던 “Sensitive Data Exposure” 같은 증상형 항목은 더 이상 리스트에 포함되지 않는다. OWASP 측은 “근본 원인 중심이 더 효율적인 식별·조치 가이드 제공을 가능하게 한다”고 설명한다. 실제로 CWE 체계 역시 근본 원인과 증상이 혼재해 왔으나, 2025 OWASP Top10은 근본 원인만을 유지함으로써 중복과 오판 가능성을 줄이는 방향으로 설계됐다. 이런 변화는 이번 버전의 철학적 전환이며, 결과적으로 목록이 더 깊이 있는 보안 가이드를 제공하도록 설계되었다.

다음으로 카테고리별 위험도 평가는 Max Incidence Rate, Max Coverage, Avg Exploit, Avg Impact, Sum Occurrences, Risk Score 등 다양한 숫자 지표로 이뤄진다. 위와 같은 지표를 기준으로 위험도를 산출했으며 Broken Access Control 취약점의 Risk Score가 621.60, Memory Management Error가 271.08로 산출되었다.

OWASP Top10의 공인된 한계: 범위·정의·현실성 문제

OWASP는 스스로 다음 한계를 인정하고 있다.

1. Application에 대한 정의의 모호성
   • OWASP에서는 마이크로서비스 확산으로 ‘애플리케이션’의 단위 자체가 불명확하며 저장소에 위치한 테스트용 스크립트조차 애플리케이션인가? 등 논쟁 속에 애플리케이션 정의가 명확하지 않다는 점을 이유로 OWASP Top10의 적용 범위에 대해 고민하는 모습을 보여주고 있다.
2. 301개의 맵핑되지 않은 CWE(31.88%)
   • Top10을 완벽히 충족해도 조직은 여전히 약 32%의 소프트웨어 약점을 안고 있다는 점을 인식해야 한다는 것을 언급하고 있다.

위와 같은 논리에 따라 OWASP Top10은 결코 ‘완벽한 보안 기준’이 아닌 시작점 또는 최저점 수준이라고 판단해 한다.

한국 정보보호 체계에서 보는 OWASP Top10 — ‘최소 기준’이지만 ‘절대 기준’은 아니다

대한민국의 여러 제도·가이드라인은 OWASP Top10을 반드시 충족해야 하는 최소 기준으로 제시하고 있다. ISMS-P 자격 검정 안내서에서 Top10을 웹 취약점 점검의 기본 요구사항으로 명시하고 있으며 금융권 OpenAPI 자체점검 가이드에서도 Top10 기반 점검을 일관되게 요구한다. 주요정보통신기반시설 가이드라인에서도 SQL Injection, XSS 등 Top10 기반 항목을 중요도 ‘상’으로 분류하고 있다. 그러나 이들 제도는 동시에 “단순 체크리스트 점검을 위험 평가로 대체하는 것은 결함이다.”라고 강하게 경고한다.

ISMS-P는 위와 같은 상황에 대해 명확한 결함 사례로 규정하며, OWASP Top10에만 의존할 경우 인증 부적합 판정까지 이어질 수 있다. 또한 N2SF(국가망 보안체계) 해설서는 “제안된 항목은 절대적 기준이 아니라 상황별로 유연하게 보완해야 할 검토 사항” 임을 명확히 밝히고 있으며, 구조적 위협 식별을 위해 위치–주체–객체 모델링을 요구한다. 즉 제도적으로 Top10을 기반으로 하되, Top10을 뛰어넘는 위협 대응을 요구하는 이중 구조를 취하고 있다.

하지만 실제 이와 같은 이중 구조를 위해 어느 정도의 노력을 하고 있는지 생각해야 한다. 시장에서는 아직도 체크리스트 기반의 점검이 시장에서 주어지는 대부분의 과업일 것이다. 사실 제도와 가이드라인에서 제시하는 조건들이 결국 OWASP Top10을 지켜야하는 기준 그리고 체크리스트 등으로 바라보게 만들어 왔으며 결국 OWASP Top10에 대한 대응이 충분하다면 문제가 발생하지 않을 것으로 판단하도록 만들고 있다.

이해할 수 있는 부분도 있는데 ‘검수’라는 절차를 마무리하기 위해 업무 수행 상황, 진도율 등을 판단하려면 목록이 필요할 수 있다. 하지만 애플리케이션이 복잡해지고 있으며 그 정의까지도 모호해지는 상황이다. 언제까지 정량적인 내용들만을 기준으로 업무를 판단할 것인가? 우리의 수준이 올라간 만큼 정량적인 부분을 뛰어넘는 정성적인 부분까지 바라볼 수 있도록 업무추진하는 환경 조성이 필요한 시기이다. 이와 같은 변화가 바로 절대적 기준이 아닌 OWASP Top10을 뛰어넘는 이중 구조를 만들어나가는 기반이 될 것이다.

향후 추진 방향성

오늘날 효과적인 공격 대응과 조직의 보안 성숙을 위해서는 Offensive Security 기업(공격 모의훈련, 침투테스트, 위협 사냥 등 특화 서비스 제공자)과의 협업이 필수요소로 부상했다. 이들 기업은 OWASP Top10의 준수 여부를 넘어 체계적 위협 시뮬레이션, 실제 공격기법 기반 리스크 진단, 보안 사고 대응 절차 설계, 최신 공격 트렌드에 맞춘 교육·훈련 프로그램을 직접 현장에 이식한다.

뿐만 아니라, 이러한 전문기업 및 지원 파트너와 함께 지속적인 검증(Continuous validation)과 능동적 탐지(Active threat hunting), 그리고 보안 운영의 자동화까지 아우르는 다음과 같은 총체적 프레임워크 설계가 필요하다.

• 독립적 침투 테스트와 Red Team/Blue Team 시뮬레이션, 최신 위협 벡터 기반 테스트의 정례화
• 업계별 강력한 보안 컴플라이언스 요구사항 분석과 맞춤화된 ISMS, NIST, ISO, CSF 등 다중 표준 연계 운영
• 클라우드·API 환경을 위한 전문 보안벤더(Offensive Security 파트너, MSSP 등) 서비스 적극 도입
• 개발·운영현장에 DevSecOps와 같은 자동화된 보안 검증·관제 체계 내재화

결론

OWASP Top10 2025는 방대한 데이터 기반 분석, Root Cause 중심 재편, 공급망 보안 강화 등 의미 있는 진전을 이뤘다. 나아가 보다 세밀한 CWE 분류와 위험 점수 체계를 도입해 실질적이고 과학적인 보안 우선순위 결정을 지원한다. 그러나 Top10 자체가 소프트웨어 약점 중 68%만을 다루고 있으며, 복잡해진 현대 애플리케이션 구조 앞에서 여전히 제약이 있다는 점도 분명하다. 대한민국의 여러 인증·심사 체계가 Top10을 ‘최소 기준’으로 요구하고 있는 이유는 여기에 있다. Top10은 여전히 가장 유용한 출발점이지만, 그 자체로는 결코 충분하지 않다.

보안 실무자라면 Top10 해결 이후에도 신규 취약점, 공급망 위협, 관리적 리스크 구조적 보안 문제를 지속적으로 점검해야 하며, Top10만 충족했다고 해서 보안이 확보되었다고 생각하는 것은 오히려 위험하다고 할 수 있는 상황이다. 하지만 이 모든 것을 자체적으로 해결할 수 있는 것도 아니다. 그러므로 조직의 실질적 보안 거버넌스 성숙을 위해서는 단순 준수에서 한걸음 더 나아가 폭넓고 깊이 있는 ‘공격적 방어’와 이를 뒷받침하는 전문 파트너 생태계와의 연계가 필수적이다.

OWASP Top10 2025 RC는 다시 한번 우리에게 질문을 던진다. “우리는 진짜 위험을 보고 있는가, 아니면 리스트만 보고 있는가?”

Related Materials

• OWASP Top 10:2025 RC1 - OWASP , 2025년
• OWASP Top 10 2025: Key Changes and What Developers Need to Know - Aikido , 2025년
• The OWASP Foundation Unveils The 2025 Top 10 List - LinkedIn Pulse , 2025년
• Comparing the OWASP Top 10 2025 with Real-World Pentest Data - Cobalt , 2025년
• OWASP Top 10 in 2025: Our Insights & Contribution - usd AG , 2025년

취약점 PoC, 공개해야 하나 말아야 하나

💡Editor’s Pick - 파일 전송 솔루션 윙FTP서버에서 10점짜리 취약점 발견됨 - 이 취약점 익스플로잇 하면 원격에서 서버 통째로 장악 가능 - 잠잠했다가 PoC 공개된 이후부터 익스플로잇 시도 극성 파일 전송 기술인 윙FTP서버(Wing FTP Server)에서 초고위험도 취약점이 발견됐다. CVE-2025-47812로, CVSS 기준 10점 만점에 10점을 받았다. 익스플로잇에 성공할 경우 공격자는

The Tech Edge문가용 기자

주기적인 모의해킹/취약점 점검과 반복되는 사고

💡Editor Pick - 2025년 보안 사고의 증가는 ‘사건의 폭증’이 아니라 ‘탐지·보고 역량의 향상’일 가능성 - 반복되는 취약점 문제는 모의해킹을 형식적으로 수행하고 결과를 단순 패치로만 처리하는 관행에서 비롯 - 진정한 해결책은 취약점의 Exploit·파급력·근본 원인까지 가시화 - PTaaS, Git·이슈 트래커로 라이프사이클을 연동해 지속적으로 추적 2025년, ‘사건’

The Tech EdgeDonghwi Shin