OWASP Top 10 – 2021 톺아보기(2/2)

이 글은 OWASP Top 10 – 2021의 두 번째 파트로, 보안 설정 오류(Security Misconfiguration)와 취약하고 지원이 종료된 구성 요소(Vulnerable and Outdated Components) 항목을 상세히 다룹니다. 보안 설정 오류는 애플리케이션 설치 및 업데이트 시 보안을 고려하지 않은 설정으로 발생하는 취약점을 의미하며, 불필요한 기능 활성화, 기본 관리자 계정 미변경, 에러 정보 노출, 보안 헤더 누락 등이 예시에 포함됩니다.

예방을 위해 불필요한 구성 요소 제거, 보안 헤더 설정, 자동화된 검증 프로세스 구현을 제안합니다. 취약하고 지원이 종료된 구성 요소는 EOS/EOL/EOD 상태인 소프트웨어를 계속 사용함으로써 발생하는 보안 위협을 말하며, OS, 웹/WAS, 데이터베이스, 라이브러리 등 서비스 구성 요소 전반에 걸쳐 발생할 수 있습니다.

글은 이러한 취약점들을 이해하고 예방하는 것의 중요성을 강조합니다.