OWASP Top 10 2025, A1: Broken Access Control ‘확장된 접근제어’
- OWASP Top10 2025 RC의 A1 변화 분석
- OWASP Top10 카테고리 세부 항목을 이해할 필요가 있음
- OWASp Top10 2025 RC A1에서는 접근 제어 개념 확장성 제시
OWASP가 발표한 Top 10 2025에서 A1 항목인 Broken Access Control은 이전과 동일하게 가장 심각한 웹 애플리케이션 보안 위험으로 분류되었다. 그러나 올해 발표된 A1 범주는 2021년 당시와 비교해 구성된 CWE가 변화하며, 접근제어의 개념이 단순히 권한 확인 절차 실패를 의미하는 수준을 넘어 "우회 가능성 자체를 제거하는 구조적 보안”으로 확장되었음을 보여준다. 이는 웹 애플리케이션 환경이 복잡해지고 공격자 수법이 다양해지면서, 기존의 정적·단일 경로 중심 접근제어만으로는 안전성을 유지하기 어려운 현실을 반영한 것이다.
기존 Access Control 범주를 벗어난 CWE 포함… 접근제어 개념의 확장 신호
OWASP Top10 2025 RC에서 A1: Broken Access Control은 Input Validation, Configuration Error, File Handling 등으로 판단 CWE들이 대거 포함되었다. 대표적으로 경로 조작(Path Traversal) 계열(예: CWE-22, CWE-23, CWE-36), 링크 처리 관련 CWE(CWE-61, CWE-65), 임시 파일 및 파일 권한 관리 취약점(CWE-377, CWE-379) 등이 있다.
이러한 취약점들은 과거 접근제어 문제로 직접 다루지 않거나 포괄적인 항목으로 접근제어 항목에 맵핑되었다. 하지만 실제 공격자는 기존 접근제어 이슈로 다루던 것들 이외의 취약점을 활용해 보호된 리소스에 우회적으로 접근하거나 권한을 상승시키는 공격을 수행할 수 있다. 즉, 전통적인 접근제어 체계에서는 정상적으로 차단되는 리소스라도, 파일 구조나 경로를 조작하면 접근이 가능해지기 때문에 결과적으로 ‘접근제어 실패’와 동일한 위험을 초래한다.
또한 CWE-540 Inclusion of Sensitive Information in Source Code, CWE-615 Inclusion of Sensitive Information in Source Code Comments(신규), CWE-668 Exposure of Resource to Wrong Sphere 등 정보노출 계열 CWE도 A1 항목에 포함되었다. 이는 정보노출이 직접적인 접근제어 실패는 아니더라도, 공격자가 시스템 내부 구조나 민감정보를 확보하면 향후 접근제어를 우회하는 발판이 될 수 있기 때문인 것으로 풀이할 수 있다.
동일한 맥락에서 CWE-918 Server-Side Request Forgery (SSRF), CWE-601 URL Redirection to Untrusted Site 역시 본래 입력 검증 문제로 분류되었지만, 실제 공격 시 내부망 접근, 인증 흐름 우회, 민감정보 접근 등 접근제어를 직접적으로 무력화하는 효과를 갖는다. 특히 SSRF의 경우 OWASP Top10 2021에는 별도의 A10 카테고리로 할당 되었지만 OWASP Top10 2025에는 A1: Broken Access Contrl에 통합되었다.
결국 OWASP는 기존 접근제어가 “권한 확인 로직의 정상 동작 여부”에만 초점을 맞췄던 것에서 벗어나, 공격자가 내부 구조를 파악하거나 대체 경로를 통해 우회 접근을 시도하는 일련의 경로 전체를 접근제어로 규정한 것이다.
2021년과 비교한 2025년의 변화… 구성요소 재배치와 리소스 보호 중심 강화
2021년 대비 2025년 Broken Access Control 항목의 가장 큰 변화는 다음 세 가지이다.
첫째, 경로·파일·리소스 접근 관련 CWE 비중 증가
2021년에는 접근제어 문제에 포함되던 경로 관련 CWE가 상대적으로 적었으나, 2025년에는 경로 조작·링크 처리·임시 파일 처리·리소스 분리 실패 등 총 10개 이상의 CWE가 새롭게 포함되거나 강조되었다.
이는 컨테이너, 서버리스, 클라우드 환경에서 리소스 경로가 단일 서버 기반 환경보다 훨씬 복잡해지면서, 파일 접근을 통한 권한 우회나 민감정보 노출이 실제 사고로 이어지는 빈도가 증가했기 때문으로 분석된다.
둘째, 근본원인(Root Cause)에 의한 CWE 재배치
OWASP Top 10 2025 RC는 정보 노출을 단순한 증상이 아니라, 암호 실패·설계 결함·접근 제어 실패 등 ‘근본 원인’ 관점에서 재분류했다. 이에 따라 2021년 ‘Sensitive Data Exposure’로 묶였던 상당수 CWE는 2025년 ‘Cryptographic Failures’로 이동했지만, 접근 제어·설계 문제와 결합된 정보 노출 CWE는 기존 카테고리에 남아 있다.” 이는 증상 중심보다 원인 중심의 보안 관점을 강화하려는 방향이다. 다만, 모든 정보 노출 CWE가 이동한 것은 아니며, 접근 제어 실패와 밀접하게 결합된 CWE(예: CWE-359 Exposure of Private Personal Information to an Unauthorized Actor)는 여전히 기존 카테고리에 남아 있다
셋째, SSRF·Indirect Access 계열 CWE 이동
이들 취약점은 본래 입력 검증 또는 URL 처리 오류로 분류하는 경햐이 강했지만, 실제 공격 효과는 접근제어 우회에 직접 연결된다. OWASP는 접근제어 실패를 “권한 검증 실패”뿐 아니라 “우회를 가능하게 하는 구조적 실패”까지 포함하도록 정의를 확장했다.
보안 검토 시 강화해야 할 핵심 포인트: ‘우회 경로 제거’가 새로운 기준
2025년 Broken Access Control이 확장되면서, 기업이 보안성 검토 시 관점의 변화를 추구할 필요성도 있다.
1. 리소스 경로 보호(Resource Path Security)의 필수화
경로 정규화, 파일 접근 제어, 링크 조작 방지 등은 핵심 접근제어 항목으로 분류하고 보다 깊이 있는 전략을 수립해야 한다. Injection 카테고리가 오랜 기간 OWASP Top10 A1에 있었던 것처럼 Access Control에 관한 이슈가 A1에 오래 머무를 것으로 보이기 때문이다. 그러므로 안전한 환경을 위한 접근제어 정책을 위해 모든 파일·디렉터리 접근 요청이 인증·인가 과정을 반드시 거치는지, 사용자 입력이 파일 경로나 시스템 리소스로 직접 연결되지 않는지, 임시 파일 및 로그 파일이 과도한 권한으로 생성되지 않는지 등을 면밀히 검토해야 할 것으로 보인다.
2. 최소권한 원칙의 ‘리소스 단위 적용’
과거에는 계정 중심 최소권한이 중요했지만, 이제는 파일·디렉터리·API·스토리지 단위로 최소권한을 적용해야 한다. 특히 클라우드 스토리지, 컨테이너 볼륨 권한 설정 등은 작은 설정 오류만으로도 전체 민감정보가 노출될 수 있다. 마이크로서비스 형태로 서비스 크기가 작고 파편화되는 만큼 하나하나의 리소스를 관리하는 것은 쉽지 않을 것이다. 하지만 리소스 단위로 접근제어 체계를 수립하지 않는다면 결국 서비스의 큰 위협으로 다가올 것이다.
3. 모든 우회 경로 차단(Indirect Access Vector Control)
오픈 리다이렉트나 SSRF는 직접 권한을 변경하지 않지만, 공격자가 내부 시스템으로 진입하는 ‘차단되지 않은 진입점’을 제공한다. OWASP Top10 2025 RC에서는 우회 벡터가 접근제어 실패를 접근제어 실패의 핵심 요소로 규정하는 것으로 판단된다. 그러므로 플랫폼과 구조의 변화가 큰 현 상황에서 전통적 인증·인가 검증만으로는 충분하지 않다는 것을 인식하고 다시 한번 가능한 경로를 찾고 전략을 수립해야 할 것으로 보인다.
4. 클라우드·컨테이너 환경 특화 보안 강화
컨테이너 간 공유 볼륨, 런타임 파일 권한 상속, 클라우드 인증 방식 등은 기존 환경에서는 없었던 새로운 접근제어 문제를 야기한다. 2025년 A1 목록의 변화는 이러한 환경 변화를 반영한 것이다. 결국 3번에서 언급한 “모든 우회 경로 차단”이라는 것의 연장선일 수도 있지만 환경에 특화된 그리고 변화된 환경과 신규 서비스 등과 관련된 보안성을 지속적으로 고민해야 하는 상황이라 할 수 있다.
쉽지 않은 기준의 충족을 위해
중이 제 머리 못깍는 것처럼 스스로 사용하거나 운영하는 서비스의 문제를 직접찾아내는 것은 쉽지 않다. 이는 마치 틀린 수학 문제를 다시 풀어도 똑같이 틀리는 것과 유사하다. 그러므로 이와 같은 검토 과정에 있어 관점의 변화가 필요하다.
이를 위해 가장 쉽게 고려할 수 있는 것은 외부의 자문(ex. Pentesting, Auditing, Assessment 등)이다. 하지만 매번 단발성 프로젝트 형태로 외부에 의존할 수 없다. 그렇다면 환경과 노하우를 가져와야 한다. 이를 위해 가장 효과적인 수단이 ASM(Attack Surface Management)과 체계화(cf. 순서의 기록, 취약점 식별 방법, 취약접 활용 예시 등)된 서비스 기록이다.
OWASP Top10 2025 RC A1의 상황을 보면 접근제어 측면에서 중요 자원에 접근하는데 필요한 경로 관리의 중요성을 언급하고 있다. 관점의 변화가 필요하고 경로 관리가 필요하다면 ASM을 효과적인 수단으로 고려할 수 있을 것이다. ASM은 다양한 환경과 경험을 서비스에 담고 있으며 보편화된 내용들을 지속적으로 확인할 수 있기 때문이다.
다음으로 체계적인 기록은 단발성의 프로젝트 결과뿐만 아니라 과정, 상황별 성공/실패 결과, 기타 다양한 형태의 데이터를 모두 포함해야한다. 이를 기반으로 제품과 서비스에 특화된 대응 방안을 지속적으로 수립하고 노하우를 축적해 나가야 한다. 하지만 프로젝트를 비롯하여 다양한 보안 이슈들이 체계적으로 정리/관리하는 하나의 환경은 접하기 어렵다. 자체적으로 이슈관리 또는 프로젝트 관리 체계의 형태에 자신만의 환경을 구축하거나 유사 서비스를 적절히 활용할 수 있는 방법을 고민해야 한다. 만약 유사한 서비스가 있다면 현재 운영/서비스 중인 환경과 어떻게 유기적으로 동작하도록 할지 고민해야 할 것이다.
결론: Broken Access Control은 이제 ‘경로·리소스·우회 전반’을 포함하는 구조적 보안 문제
OWASP Top 10 2025 RC A1의 변화는 Broken Access Control 개념의 근본적인 확장했다. 더 이상 권한 체크의 실패만을 의미하지 않으며, 공격자가 시스템의 우회 경로를 통해 보호된 리소스에 접근할 수 있는 모든 가능성을 포함한다. 웹·클라우드·컨테이너·API 기반 애플리케이션이 복합적으로 운영되는 시대에는 접근제어를 서비스 구성·리소스 배치·파일 시스템·네트워크 경로 등 전체 아키텍처 관점에서 다루어야 한다. 그러므로 기업과 개발 조직은 기존의 인증·인가 검증 중심 접근에서 벗어나, “우회 가능성을 원천적으로 제거하는 구조적 접근제어” 를 새로운 보안 기준으로 삼아야 한다.
Related Materials
- A01 Broken Access Control - OWASP Top 10:2025 RC1 - OWASP, 2024년
- BLA9:2025 - Broken Access Control (BAC) - OWASP, 2024년
- Broken Access Control: An OWASP Top 10 Risk - Acunetix, 2024년
- BACFuzz: Exposing the Silence on Broken Access Control - arXiv, 2024년
- Vulnerabilities of Web Applications: Good Practices and New Trends - ACIG Journal, 2024년
Donghwi Shin
Donghwi Shin
