[OWASP 시리즈] OWASP Top10 2025 RC, ‘Security Misconfiguration’ 항목 대대적 재편… 2021 대비 무엇이 달라졌나
![[OWASP 시리즈] OWASP Top10 2025 RC, ‘Security Misconfiguration’ 항목 대대적 재편… 2021 대비 무엇이 달라졌나](https://images.unsplash.com/photo-1667372525724-16cede94db0b?crop=entropy&cs=tinysrgb&fit=max&fm=jpg&ixid=M3wxMTc3M3wwfDF8c2VhcmNofDF8fGNvbmZpZ3VyYXRpb258ZW58MHx8fHwxNzY0MTQzODYyfDA&ixlib=rb-4.1.0&q=80&w=1200)
- OWASp Top10 202t RC의 A2에 대한 변화 및 세부적인 이해
- A2의 경우 근본 원인(Root Cause) 중심의 변화를 잘 보여주고 있음
- OWASp Top10 202t RC의 A2에서는 표준화되고 자동화된 보안 설정의 방향성과 필요성 제시하고 있음
OWASP가 발표한 Top10 2025 RC(Release Candidate)에서는 A2: Security Misconfiguration 항목의 구성과 포함된 CWE 목록이 조정되었다. 이는 단순한 목록 변경이 아니라 실제 관측된 취약점 통계와 근본 원인 중심의 재분류가 반영된 결과라는 점에서 과거 OWASP와는 다른 형태로 변화하는 모습을 보여주고 있다 평가할 수 있다. 또한 2021년 A5 항목에 포함되던 일부 CWE가 2025년 A2에서 제외되었는데, 우리는 표면적으로 Security Misconfigruation이 A5에서 A2로 올라갔다는 사실에만 집중 할 것으로 예상된다. 이에 OWASP ASP Top10 2025 RC A2: Security Misconfiguration에 대해 보다 깊이 있게 살펴보고자 한다.
2025년 A2, 총 719,000건의 오류 관측과 100% 발생률 기반으로 CWE 재편
OWASP 공식 페이지에 따르면 Security Misconfiguration은 테스트된 애플리케이션의 100%에서 관측된 보편적 문제이며, 총 71만 9천 건 이상의 관련 취약점이 발견되었다. 이러한 광범위한 관측 결과는 Misconfiguration이 여전히 가장 흔하고 치명적일 수 있는 문제라는 것을 보여준다.
OWASP Top10 2021년에는 20개의 CWE가 A5에 매핑되어 있었지만, Top10 2025 RC에서 A2에 포함된 CWE는 총 16개로 줄었다. 즉, 일부 CWE는 완전히 제외되었고, 일부는 더 포괄적인 항목으로 통합되었다고 할 수 있다.
2021에 있으나 2025에서 빠진 CWE — ‘사용 금지’ 항목과 ‘증상(Symptom)’ 중심 항목 제외
2021년 A5에서 2025년 A2로 넘어오면서 다음의 주요 CWE들이 명시적으로 제외되었다.
1) 추상적이며 실체적이지 않는 CWE 제외
OWASP Top10 2025 RC에서 제외된 CWE 중, CWE-2 (7PK), CWE-1032 (OWASP Top Ten 2017 Category A6)는 다소 추상적이거나 비실체적인 내용을 담고 있는 CWE라 할 수 있다.
CWE-2는 ‘7PK(Security Concepts)’라는 상위 추상 레벨 개념 묶음이며, CWE-1032 역시 OWASP 2017 구분을 위한 참조용이다. 따라서 OWASP Top10 2025 RC에서는 이러한 비실체적·추상적·레거시 항목을 배제한 것으로 해석된다. 이는 CWE 문서 정책을 충실히 반영한 조정이며, Top10이 실질적·재현 가능한 취약점 중심으로 개편되었다는 것을 보여주는 예시이다.
2) 근본 원인(Root Cause) 아닌 증상(Symptom)에 해당하는 CWE 제거
다음의 CWE들은 OWASP Top10 2021에서는 Misconfiguration의 일부로 간주되었으나, OWASP Top10 2025 RC에서는 제외되었다.
- CWE-520: .NET Misconfiguration — Use of Impersonation
- CWE-537: Java Runtime Error Message Containing Sensitive Info
- CWE-541: Inclusion of Sensitive Information in an Include File
- CWE-756: Missing Custom Error Page
이들 항목은 대부분 특정 언어나 런타임 환경(.NET·Java)에 국한되거나, 구성 오류의 “증상(Symptom)”을 기술하는 항목들이다. OWASP Top10 2025 RC는 CWE를 선정할 때 “근본 원인 중심(Root cause-based selection)”을 강조하고 있으며, 이로 인해 개별 언어·환경에 특화된 항목이나 결과적 증상(오류 메시지 노출 등)은 가능한 제외한 것으로 보인다.
즉, OWASP는 모든 기술 스택에 공통적으로 영향을 주는 기본 구조상의 문제들을 중심으로 CWE를 정비했고, 플랫폼 특수성이나 단일 진단 증상에 가까운 항목은 범용성 측면에서 우선순위가 낮다고 본 것이다.
변경의 의미: “제외되었다고 해서 중요하지 않은 것은 아니다”
특정 CWE가 OWASP Top10 2025 RC에서 제시한 CWE 목록에서 제외되었다고 해서, 그것이 더 이상 중요하지 않다는 의미는 아니다. 예를 들어, .NET 기반 기업이라면 여전히 CWE-520은 심각한 위험을 유발할 수 있고, Java 기반 플랫폼에서는 CWE-537이 민감한 정보 노출로 이어질 수 있다. OWASP Top10은 산업 전반에서 발견된 빈도와 영향도를 반영한 “우선순위 지수”일 뿐이며, 조직 특성에 따라 위험도는 달라진다. 따라서 보안팀은 2021→2025 매핑 변화를 그대로 정책 수정으로 오해해서는 안 되며, 오히려 조직의 기술 스택 기반 “커스텀 CWE 모니터링 목록”을 병행 유지해야 한다.
OWASP TOp10 2025 A2에 포함된 CWE들이 말하는 ‘진짜 중요한 것들’
OWATP Top10 2025 RC의 A2에는 다음과 같은 근본 원인 기반 Misconfiguration이 핵심으로 자리 잡고 있다.
- CWE-5: J2EE Misconfiguration
- CWE-11: ASP.NET Misconfiguration
- CWE-15: External Control of System Configuration
- CWE-16: Configuration에서의 Security Controls 누락
- CWE-260, 315, 526 (민감정보 하드코딩·누락)
- CWE-611, 776 (XML Parser Misconfig 관련 XXE 계열)
- CWE-614 (민감정보 Cookie 관련 설정 부족)
이들은 대부분 특정 언어의 문제를 넘어 플랫폼 전반에서 공통적으로 나타나는 구성 오류의 근본 원인들이다. 또한 클라우드, API, 컨테이너 환경으로 확장되는 현대 시스템 구조에서 매우 빈번하게 등장하는 항목들로, 기업이 우선적으로 점검해야 할 영역이 명확하게 정리되었다.
실무자가 주목해야 할 보안 검토 관점
OWASP TOp10 2021 대비 OWASP TOP10 2025 RC의 변화는 “다시 기본으로 돌아가 구성 자체를 표준화하고 자동화하라”는 메시지로 정리할 수 있다. 이에 대해 OWASP Top10 2025 RC에서는 아래 네 가지 항목을 중요하다고 언급하고 있다.
1) 하드닝의 자동화 및 재현성
OWASP Top10 2025 RC A2는 다음과 같은 “Repeatable Hardening Process“를 핵심적인 보안활동으로 제시하고 있다.
- 동일한 설정의 개발·QA·운영 환경과 자격증명 영역 분리
- 하드닝된(cf. 보안 정책 적용, 사용하지 않는 기능·샘플·프레임워크 제거) 신규 환경 구성 자동화
- 패치와 보안 업데이트를 별도의 구성 검토 프로세스와 연계
위와 같은 내용을 살펴보면 OWASP Top10 2025 RC A2에서 대응 방안으로 추구하는 것은 서비스 또는 상황에 따라 특별히 다른 환경을 유지하지 않으며 신규로 환경을 구성한다면 갖춰진 틀 내에서 빠르게 안전한 환경을 구성할 수 있는 설정의 표준화 및 적용이라는 것을 알 수 있다.
2) 클라우드 환경의 권한 및 접근 제어 재검토
S3 버킷, 스토리지 계정, 접근 제어 목록(ACL) 등의 잘못된 공개 설정은 지속적으로 사고를 유발해왔다. OWASP Top10 2025 RC A2에서는 이러한 Cloud 환경의 Misconfiguration에 대해 지속적으로 언급하고 있으며, 이는 단순한 서버 설정 오류를 넘어 “플랫폼 보안”으로 Misconfiguration 범위가 확장되었음을 보여준다.
3) 효과적인 분리 정책
컨테이너, Kubernetes, 클라우드 보안 그룹 등을 통해 구성되는 네트워트와 네트워크 리소스를 사용하는 객체 사이에 엄격한 분리가 필수적인 요소라는 점은 부정할 수 없다. 이에 OWASP Top10 2025 RC A2에서는 이와 같은 상황을 명확히 인식하고, 구성 오류가 발생했을 때 피해 확산을 최소화하기 위해 효과적이고 엄격한 분리가 필요하다고 설명하고 있다.
4) 과도한 오류 메시지·로깅 노출 차단
OWASP Top10 2025 RC A2 CWE 목록에서 CWE-537과 같은 오류 메시지 노출 항목이 빠졌지만, 이는 중요성이 낮아졌다는 뜻은 아니다. OWASP 2025는 오히려 중앙화된 설정을 통해 오류 메시지 노출을 사전에 차단하는 메커니즘 구축을 권고하고 있다. 즉, 개별 CWE가 목록에서 빠졌더라도 근본 원인 관점에서는 여전히 중요한 관리 포인트다.
앞으로의 대응 전략: 자동화·표준화·검증
OWASP Top10 2025 RC가 제시하는 방향성은 명확하다. “환경별 설정이 일관되고 필요 최소한으로 구성되었는가, 그리고 이를 자동으로 검증할 수 있는가?” 이를 위해 OWASP에서는 조직이 앞서 제시한 관점에 해당하는 보안활동을 실천해야 한다고 강조하고 있다.
하지만 문제는 항상 사용하던 설정과 부처/기관에서 제시하는 요건만을 충족하기 위한 설정만을 사용하고 있을 것이다. 그리고 일반적인 설정 방법론을 기반으로 서비스와 제품이 돌아가는 수준으로 설정하고 이후 상황에 대해 파악하지 않는다. 가장 좋은 방법은 서비스와 고객 그리고 회사의 상황을 충분히 이해하고 담당자가 스스로 설정하는 것이다. 그러니 현실은 그렇지 않다. 더구나 설정 부분은 관점의 차이가 작용하므로 자신의 설정에 대해 다른 관점으로 검증하는 것이 쉽지 않다. 사실 이런 부분에 대한해 전문적인 의견을 수용하고 개선해 나가야 한다. 하지만 우리나라에서는 설정에 대한 검증을 과업으로 추진하는 사례를 찾아보기 힘들다. 이제는 모의해킹을 비롯한 감사 단계에 외부기관과의 적극적입 협력을 통해 다양한 관점을 담는 안전한 설정을 고려하는 것이 효과적이다. 현재 추세로 보자면 과업 범위를 넓히면서 발생하는 추가 비용 대비 향후 발생할 사고로 인한 과징금/과태료가 더 클 가능성이 높기 때문이다.
OWASP Top10 2025 RC에서 A2: Security Misconfiguration 항목의 재편은 단순한 CWE 목록의 변경이 아니라, 현대 시스템의 실제 구성 오류 패턴을 반영해 근본 원인 중심의 구조 개편이다. 2021에 있었던 일부 CWE가 사라진 이유 역시 “사용 금지” 또는 “증상 중심” 항목을 제외하고 더 핵심적인 원인 중심 항목을 선정한 결과로 본다. 조직은 이번 변화를 단순한 업데이트로 보지 말고, 환경 구성 자동화·표준화·검증이라는 거대한 흐름을 이해해야 한다. 보안은 이제 코드뿐 아니라 “구성” 그 자체가 가장 강력한 방어선이며, OWASP Top10 2025 RC A2는 이와 같은 변화를 보여주는 것이 아닌가 생각해본다.🆃🆃🅔
Related Materials
- [1] Top Threats to Cloud Computing 2024 - Cloud Security Alliance , 2024년
- [2] 2024 Annual Mobile Threat Report - Lookout , 2024년
- [3] The State of Pentesting Report 2024 - Cobalt , 2024년
- [4] On the Automatic Identification of Misconfiguration Errors in Cloud-Native Environments - Drexel University , 2024년
- [5] Top 10 HTTP Misconfigurations: Examples and Solutions - ProtocolGuard , 2024년
Donghwi Shin
Donghwi Shin
