시스매

개발자라면 반드시 알아야 할 OWASP 완벽 가이드

23 min read

2025-09-22 00:51

  • OWASP는 전 세계 개발자, 보안 전문가들이 모여 안전한 소프트웨어를 만들기 위한 방법론과 도구를 연구하고 공유하는 오픈소스 커뮤니티다.

  • 가장 대표적인 결과물인 ‘OWASP Top 10’은 웹 애플리케이션에서 가장 빈번하고 심각한 10가지 보안 취약점을 정리한 목록으로, 웹 보안의 표준과 같다.

  • OWASP는 단순히 취약점 목록을 넘어, 기업의 보안 성숙도를 진단하는 SAMM, 무료 취약점 스캐너 ZAP 등 실질적인 해결책을 제공하며 개발 문화 전반에 기여한다.

개발자라면 반드시 알아야 할 OWASP 완벽 가이드

오늘날 디지털 세상에서 소프트웨어는 공기와 같다. 우리는 웹사이트, 모바일 앱 없이는 하루도 살기 힘들다. 하지만 우리가 매일 사용하는 이 편리한 소프트웨어들이 과연 안전할까? 안타깝게도 수많은 애플리케이션이 심각한 보안 위협에 노출되어 있다. 해커들은 바로 이 허점을 노려 개인정보를 훔치고, 시스템을 마비시키며, 막대한 금전적 피해를 입힌다.

이러한 ‘소프트웨어 보안 대란’ 속에서 개발자와 보안 전문가들에게 한 줄기 빛과 같은 존재가 있다. 바로 **OWASP(The Open Web Application Security Project)**다. 만약 당신이 개발자이거나 IT 분야에 종사하고 있다면 OWASP라는 이름을 한 번쯤은 들어봤을 것이다. 하지만 “그거 그냥 웹 취약점 10개 목록 아니야?”라고 생각했다면, 오늘 이 글을 통해 OWASP의 진정한 가치를 발견하게 될 것이다. 이 핸드북은 OWASP가 왜 탄생했고, 어떤 구조로 이루어져 있으며, 우리가 어떻게 활용해야 하는지에 대한 모든 것을 담고 있다.

1. OWASP 왜 만들어졌나

2000년대 초반, 인터넷 붐과 함께 웹 애플리케이션은 폭발적으로 증가했다. 기업들은 너도나도 웹사이트를 만들고 온라인 서비스를 출시하기에 바빴다. 문제는 모두가 ‘기능 구현’에만 혈안이 되어 ‘보안’은 뒷전으로 밀려났다는 점이다. 보안은 어렵고, 돈이 많이 들며, 개발 속도를 늦추는 귀찮은 존재로 여겨졌다.

그 결과, 웹은 해커들의 놀이터가 되었다. 간단한 공격 기법만으로도 웹사이트를 해킹해 데이터베이스를 통째로 털어가는 일이 비일비재했다. 보안 솔루션을 판매하는 회사들은 자사의 제품이 최고라고 외쳤지만, 특정 기술에 종속되지 않고 객관적이며 신뢰할 수 있는 정보는 턱없이 부족했다.

바로 이런 혼란 속에서 2001년, 마크 커피(Mark Curphey)를 중심으로 뜻있는 보안 전문가들이 모였다. 이들의 목표는 단 하나였다.

“특정 기업의 이익에 휘둘리지 않고, 누구나 자유롭게 접근하여 활용할 수 있는 웹 애플리케이션 보안 지식과 도구를 만들자.”

이것이 OWASP의 시작이다. OWASP는 비영리 재단(Non-profit)으로 운영되며, 모든 자료는 오픈소스로 공개된다. 전 세계 수만 명의 보안 전문가, 개발자, 연구자들이 자발적으로 참여하여 프로젝트를 만들고 지식을 공유한다. 상업적인 광고나 특정 제품 홍보 없이, 오직 더 안전한 소프트웨어 생태계를 만들겠다는 순수한 목표 아래 움직이는 거대한 협업 공동체인 셈이다.

OWASP는 “보안은 개발의 일부여야 한다”는 철학을 전파하며, 보안을 더 이상 전문가들만의 영역이 아닌, 모든 개발자가 알아야 할 기본 소양으로 만드는 데 결정적인 역할을 했다.

2. OWASP의 구조 무엇으로 이루어져 있나

OWASP는 단순히 하나의 조직이나 문서를 지칭하는 이름이 아니다. 여러 가지 핵심 요소들이 유기적으로 연결된 하나의 거대한 생태계에 가깝다.

  1. 커뮤니티 (Community): OWASP의 심장이다. 전 세계 수백 개의 지부(Chapter)를 통해 오프라인 및 온라인 밋업, 컨퍼런스가 주기적으로 열린다. 이곳에서 최신 보안 트렌드와 공격 기법, 방어 전략이 논의되고 공유된다. 한국에도 OWASP Korea Chapter가 활발하게 활동하고 있다.

  2. 프로젝트 (Projects): OWASP의 실질적인 결과물이다. 커뮤니티 멤버들이 자발적으로 팀을 이루어 특정 보안 문제를 해결하기 위한 문서, 도구, 코드를 개발한다. 수백 개의 프로젝트가 있으며, 크게 세 가지 유형으로 나눌 수 있다.

    • 문서 (Documentation): 보안 표준, 가이드라인, 체크리스트 등을 제공한다. (예: OWASP Top 10, ASVS)

    • 도구 (Tools): 보안 취약점을 테스트하고 방어하는 데 사용되는 소프트웨어다. (예: ZAP, Dependency-Check)

    • 코드 라이브러리 (Code Libraries): 개발자가 안전한 코드를 작성할 수 있도록 돕는 API나 라이브러리다. (예: ESAPI)

  3. 재단 (Foundation): 이 모든 활동을 지원하는 비영리 법인이다. 컨퍼런스 개최, 프로젝트 인프라 제공, 교육 자료 개발 등 커뮤니티가 원활하게 운영될 수 있도록 돕는 역할을 한다.

이 세 가지 요소가 서로 맞물려 돌아가며 OWASP라는 거대한 지식의 바퀴를 굴리고 있다. 이제 이 생태계가 만들어낸 가장 중요하고 유용한 결과물들을 어떻게 활용할 수 있는지 살펴보자.

3. OWASP 사용법 어떻게 활용할 것인가

OWASP는 개발자, 보안 테스터, 프로젝트 관리자, 심지어 경영진까지 IT 생태계의 모든 구성원이 활용할 수 있는 자료를 제공한다. 그중 가장 핵심적인 프로젝트들을 소개한다.

1) 웹 보안의 교과서 OWASP Top 10

OWASP Top 10은 OWASP를 상징하는 가장 유명한 프로젝트다. 전 세계 보안 전문가들의 설문조사와 데이터를 기반으로, 웹 애플리케이션에서 가장 빈번하게 발견되고 보안에 치명적인 영향을 미치는 10가지 취약점 유형을 3~4년 주기로 발표한다.

OWASP Top 10은 단순한 취약점 목록이 아니다. 이는 개발자와 기업이 제한된 자원으로 어디에 집중해야 할지를 알려주는 훌륭한 우선순위 가이드다. “우리가 만든 애플리케이션이 최소한 이 10가지 위험에서는 안전한가?”를 점검하는 것이 웹 보안의 첫걸음이다.

최신 버전인 OWASP Top 10 2021 목록은 다음과 같다.

순위취약점 명칭 (영문)취약점 명칭 (국문)
A01Broken Access Control접근 권한 제어 실패
A02Cryptographic Failures암호화 오류
A03Injection인젝션
A04Insecure Design안전하지 않은 설계
A05Security Misconfiguration보안 설정 오류
A06Vulnerable and Outdated Components취약하고 오래된 구성요소1
A072Identification and Authentication Failures3식별 및 인증 오류4
A085Software and Data Integrity Failures6소프트웨어 및 데이터 무결성 오류7
A098Security Logging and Monitoring Failures9보안 로깅 및 모니터링 실패10
A1011Server-Side Request Forge12ry (SSRF)서버 측 요청 위조

각 항목을 간단한 비유와 함께 살펴보자.

  • A01: 접근 권한 제어 실패: 아파트 키가 없는 사람이 다른 집 문을 열고 들어가는 것과 같다. 즉, 일반 사용자가 관리자 페이지에 접근하거나, 다른 사용자의 게시물을 무단으로 수정/삭제할 수 있는 취약점이다.

  • A02: 암호화 오류: 중요한 편지를 봉투에 넣지 않고 엽서로 보내는 격이다. 비밀번호, 주민등록번호 같은 민감한 데이터가 암호화되지 않은 채 전송되거나 저장될 때 발생한다.

  • A03: 인젝션: 상대방의 질문에 교묘하게 악의적인 명령어를 섞어 대답하는 것과 같다. 가장 대표적인 SQL Injection은 로그인 폼에 admin' OR '1'='1 같은 구문을 입력하여 인증을 우회하는 공격이다.

  • A04: 안전하지 않은 설계: 튼튼한 자물쇠를 달았지만, 창문은 활짝 열어둔 집을 짓는 것이다. 개발 단계부터 보안을 고려하지 않고 설계하여 근본적으로 발생하는 문제다.

  • A05: 보안 설정 오류: 현관문에 최첨단 디지털 도어락을 설치하고 비밀번호를 ‘1234’로 설정해두는 것과 같다. 웹 서버, 데이터베이스 등의 기본 설정을 그대로 사용하거나, 불필요한 포트를 열어두는 경우 발생한다.

  • A06: 취약하고 오래된 구성요소: 자동차에 리콜 대상인 타이어를 계속 사용하는 것과 같다. 이미 보안 취약점이 발견된 오래된 버전의 라이브러리나 프레임워크를 그대로 사용할 때 발생한다.

  • A07: 식별 및 인증 오류: 허술한 신분증 검사로 아무나 건물에 출입시키는 상황이다. 쉬운 비밀번호를 허용하거나, 무차별 대입 공격(Brute-force attack)에 대한 방어책이 없는 경우 해당된다.

  • A08: 소프트웨어 및 데이터 무결성 오류: 배송 중인 택배 상자의 내용물이 몰래 바뀐 것과 같다. 자동 업데이트 과정에서 악성 코드가 포함되거나, 중요한 데이터가 검증 절차 없이 사용될 때 발생한다.

  • A09: 보안 로깅 및 모니터링 실패: 집에 도둑이 들었는데 CCTV가 꺼져있거나 녹화되지 않은 상황이다. 해킹 시도가 있었을 때 이를 탐지하고 추적할 수 있는 로그 기록이 없거나 불충분한 경우다.

  • A10: 서버 측 요청 위조(SSRF): 내부 직원만 사용하는 구내식당 식권을 위조해 외부인이 밥을 먹는 것과 같다. 공격자가 서버를 속여 내부망의 다른 서버나 외부의 특정 서버로 악의적인 요청을 보내게 만드는 공격이다.

2) 우리 회사의 보안 건강검진표 OWASP SAMM

OWASP SAMM(Software Assurance Maturity Model)은 조직의 소프트웨어 개발 및 운영 프로세스 전반의 보안 수준을 평가하고 개선하기 위한 프레임워크다.

쉽게 비유하자면, **‘기업용 보안 건강검진표’**다. SAMM은 거버넌스, 설계, 구현, 검증, 운영 5개의 비즈니스 기능과 그 아래 15개의 보안 프랙티스를 정의한다. 각 프랙티스마다 3단계의 성숙도 수준(Maturity Level)이 있어, 우리 회사가 현재 어느 수준에 있는지 객관적으로 진단할 수 있다.

  • 1단계: 기본적인 보안 활동을 수행하는 수준

  • 2단계: 표준화된 프로세스를 갖추고 효율적으로 관리하는 수준

  • 3단계: 지속적으로 프로세스를 개선하고 최적화하는 수준

SAMM을 통해 조직은 “우리는 보안을 위해 무엇을 하고 있는가?”라는 막연한 질문에서 벗어나 “우리는 ‘위협 모델링’ 영역에서 1.5 수준이며, 다음 분기까지 2.0 수준으로 올리기 위해 아키텍처 분석을 도입해야 한다”와 같이 구체적이고 측정 가능한 목표를 세울 수 있다.

3) 내 웹사이트를 위한 무료 경비원 OWASP ZAP

OWASP ZAP(Zed Attack Proxy)은 세상에서 가장 인기 있는 무료 오픈소스 웹 취약점 스캐너다. 개발자나 보안 테스터가 웹 애플리케이션의 취약점을 쉽게 찾을 수 있도록 도와주는 강력한 도구다.

ZAP은 내 컴퓨터와 웹 서버 사이에 위치하는 **‘똑똑한 프록시 서버’**처럼 작동한다. 웹 브라우저의 모든 요청과 응답을 중간에서 가로채 분석하고, 자동으로 다양한 공격을 시도하여 취약점을 찾아낸다.

  • 자동 스캔 (Automated Scan): 웹사이트 주소만 입력하면 ZAP이 알아서 사이트를 돌아다니며 SQL 인젝션, XSS(크로스 사이트 스크립팅) 등 일반적인 취약점을 찾아준다.

  • 수동 테스트 (Manual Testing): 전문가가 특정 요청을 가로채 변조하고 재전송하며 더 깊이 있는 취약점을 분석할 수 있다.

개발 과정에서 ZAP을 CI/CD 파이프라인에 통합하면, 새로운 코드가 배포될 때마다 자동으로 보안 테스트를 수행하여 취약점이 운영 환경에 반영되는 것을 사전에 막을 수 있다.

4) 보안 요구사항의 표준 OWASP ASVS

OWASP ASVS(Application Security Verification Standard)는 안전한 애플리케이션이 갖춰야 할 보안 요구사항을 정의한 표준 문서다.

ASVS는 **‘보안 기능 명세서’ 또는 ‘상세 체크리스트’**라고 생각할 수 있다. 예를 들어 “사용자 인증 기능은 안전해야 한다”는 막연한 요구사항 대신, ASVS는 “비밀번호는 최소 12자 이상이어야 한다”, “로그인 실패 10회 시 계정이 15분간 잠겨야 한다”와 같이 구체적이고 검증 가능한 항목들을 제공한다.

ASVS는 보안 수준에 따라 3개의 레벨로 나뉜다.

  • Level 1: 모든 애플리케이션이 기본적으로 만족해야 하는 최소한의 보안 수준

  • Level 2: 개인정보나 금융 정보 등 민감한 데이터를 다루는 애플리케이션에 권장되는 표준 보안 수준

  • Level 3: 군사, 의료 등 최고 수준의 보안이 요구되는 애플리케이션을 위한 높은 보안 수준

개발팀은 ASVS를 사용하여 프로젝트 시작 단계에서 보안 요구사항을 명확히 정의할 수 있고, 테스트팀은 ASVS를 기준으로 애플리케이션이 안전하게 개발되었는지 검증할 수 있다.

4. 심화 OWASP와 DevSecOps 문화

최근 IT 업계의 화두는 **DevSecOps(데브섹옵스)**다. 개발(Dev), 보안(Sec), 운영(Ops)을 통합하여 개발 수명 주기 전반에 걸쳐 보안을 내재화하는 문화를 의미한다. 과거처럼 개발이 끝난 후에야 보안팀이 투입되는 방식으로는 빠르게 변화하는 위협에 대응할 수 없다는 문제의식에서 출발했다.

OWASP의 철학과 프로젝트들은 DevSecOps 문화를 구축하는 데 완벽하게 부합한다.

  • Shift Left: ZAP이나 Dependency-Check 같은 도구를 CI/CD 파이프라인에 통합하여 개발 초기 단계(왼쪽)에서부터 보안 취약점을 발견하고 수정할 수 있다.

  • 보안의 민주화: OWASP Cheat Sheet Series와 같은 자료들은 개발자들이 특정 보안 주제에 대해 쉽게 학습하고 안전한 코딩 습관을 기르도록 돕는다. 더 이상 보안은 보안팀만의 업무가 아니다.

  • 자동화와 표준화: ASVS는 보안 요구사항의 표준을 제공하고, SAMM은 보안 활동을 측정하고 개선하는 프레임워크를 제공하여 조직 전체의 보안 수준을 체계적으로 관리할 수 있게 한다.

OWASP를 잘 활용하는 것은 단순히 취약점을 막는 것을 넘어, 조직의 개발 문화를 더욱 성숙하고 안전하게 만드는 핵심 열쇠가 될 수 있다.

5. 결론 OWASP는 살아있는 지식이다

OWASP는 완성된 책이 아니라, 전 세계 전문가들이 함께 써 내려가는 살아있는 백과사전이다. 새로운 공격 기법이 등장하면 커뮤니티는 이를 분석하고 방어 전략을 공유하며 프로젝트를 업데이트한다.

개발자에게 OWASP는 더 이상 선택이 아닌 필수다. 내가 만든 코드가 누군가의 소중한 정보를 지키는 방패가 될 수도, 혹은 모든 것을 잃게 만드는 창이 될 수도 있다는 책임감을 가져야 한다. OWASP는 그 책임의 무게를 덜어주는 든든한 동반자다.

오늘 당장 OWASP Top 10의 각 항목을 다시 한번 숙지하고, 내가 참여하는 프로젝트에 ZAP으로 간단한 스캔이라도 실행해보자. 작은 실천 하나하나가 모여 더 안전한 디지털 세상을 만드는 밑거름이 될 것이다. OWASP의 문은 언제나 열려있다. 이제 당신이 참여할 차례다.

그래프 뷰