본문으로 건너뛰기
>_ITDITD웹 보안 플랫폼

용어 사전

OWASP Top 10이란 — 웹 앱에서 가장 중대한 10대 리스크의 표준 목록

OWASP Top 10은 웹 앱에서 가장 중대하다고 여겨지는 보안 리스크를 10가지로 정리한 표준 목록입니다. 접근 제어 미비·인젝션·설정 실수 등 각 항목이 무엇을 가리키는지, 그리고 자신의 앱에서 무엇을 우선해 지켜야 하는지를 본 사이트의 각 해설 링크와 함께 요약표로 정리합니다.

게시 2026-07-04 업데이트 2026-07-04 3분 읽기

「OWASP Top 10」은 웹 앱의 보안을 이야기할 때의 공통 언어입니다. 여기서는 각 항목이 무엇을 가리키는지를, 공격 절차가 아니라 “지키는 관점”으로 정리하고, 본 사이트의 자세한 해설로 이어집니다.

10대 리스크 요약표(2021년판)

각 항목은 「카테고리」입니다. 자신의 앱에 대입해, 위에서부터 점검의 관점으로 씁니다.

#리스크대략 무엇을 뜻하나본 사이트의 관련 해설
A01접근 제어 미비로그인=허가, 가 되어 있다. 소유자 확인 누락인증과 인가의 차이 / IDOR
A02암호화의 실패비밀의 평문 저장·약한 암호·TLS 미비공개키 암호 / 비밀번호 해싱
A03인젝션입력으로 쿼리/명령을 탈취당함SQL 인젝션 / XSS
A04안전하지 않은 설계설계 단계에서 위협을 고려하지 않음최소한 체크리스트
A05보안 설정 실수운영 디버그·기본값·불필요 기능의 노출CORS
A06취약하고 오래된 컴포넌트의존의 알려진 CVE를 방치의존 CVE의 감시
A07인증의 미비약한 인증·무차별 대입 내성 없음·다요소 없음이중 인증 / 패스키
A08데이터·소프트웨어 무결성의 미비공급망·업데이트 경로의 변조보안의 역사(공급망 공격)
A09로그와 모니터링의 미비사고를 탐지·추적할 수 없음감사 로그의 중요성
A10SSRF서버에 내부 대상 요청을 시킴SSRF

사용법: 체크리스트가 아니라 “우선순위 매기기의 출발점”

Top 10을 “채우면 끝”으로 삼지 않는다

Top 10은 가장 대표적인 10개 카테고리일 뿐, 이것만 없애면 충분하다는 보증이 아닙니다. 우선순위 매기기와 누락 확인의 출발점으로 쓰고, 의존 CVE의 감시·비밀 관리·백업·탐지처럼 Top 10에 직접 나타나지 않는 토대도 함께 다지는 것이 실무입니다.

1

상위(A01〜A03)부터 자신의 앱에 대입한다

먼저 접근 제어·암호화·인젝션을 자신의 코드에서 점검. 가장 잦은 사고의 원인은 여기에 집중된다.

2

설정과 의존(A05·A06)을 기계적으로 확인

운영 설정의 조임(디버그 노출 없음)과, 의존 CVE의 기계적 감시를 구조로 만든다.

3

탐지(A09)를 사고 전에 준비한다

로그와 모니터링이 없으면, 사고를 알아채지 못하고 추적도 할 수 없다. 최소한의 감사·접근 로그를 보존한다.

본 사이트의 관점: 라벨이 아니라 “자신의 코드에 대입하는” 도구

Top 10의 가치는 번호를 암기하는 것이 아니라, 각 카테고리를 자신의 앱에 대입해 점검하는 데에 있습니다. 이 사이트는 각 리스크를 「당신이 어떻게 막을지」로 번역한 개별 해설을 마련해 두었습니다. Top 10을 입구로 삼아, 먼저 상위(접근 제어·암호화·인젝션)부터 자신의 코드를 살펴보세요.

다음에 읽을거리

FAQ

QOWASP Top 10이란 무엇인가요?
A

비영리 단체 OWASP(Open Worldwide Application Security Project)가 몇 년마다 공개하는, '웹 앱에서 가장 중대하다고 여겨지는 보안 리스크'를 10가지로 정리한 목록입니다. 특정한 공격 절차 모음이 아니라 '리스크의 카테고리'로, 개발자나 운영자가 '최소한 어디를 봐야 하는지'를 확인하는 공통 언어로 널리 쓰입니다. 최신판은 2021년판입니다.

QOWASP Top 10의 1위는 무엇인가요?
A

2021년판의 선두는 '접근 제어 미비(Broken Access Control)'입니다. 로그인은 통과했더라도, 그 사용자가 정말로 그 작업·그 데이터에 접근해도 되는지를 확인하지 않는다는 설계의 구멍을 가리킵니다. IDOR(타인의 ID를 지정해 타인의 데이터에 도달)도 이 카테고리의 대표 예입니다.

QOWASP Top 10에 실려 있으면 안전한가요?
A

아니요. Top 10은 '가장 대표적인 10개 카테고리'이며, 이것만 없애면 충분하다는 체크리스트가 아닙니다. 어디까지나 우선순위 매기기와 누락 확인의 출발점으로 쓰고, 의존 패키지의 CVE 감시·비밀 관리·백업·탐지 등 Top 10에 직접 나타나지 않는 토대도 함께 다지는 것이 실무입니다.