kind: reference status: active visibility: private license: CC-BY-SA-4.0 summary: OWASP Top 10 2021 10가지 위험 분류 요약 — Broken Access Control이 1위. 2017 대비 3개 신규 항목. tags: - security - owasp - reference related: - personal_vault/knowledge/dev/security.md - personal_vault/projects/ops/librarian/capsules/Web Security Practical Reference Capsule.md
OWASP Top 10 2021 Quick Reference
Categories (ordered by risk)#
| # | ID | 이름 | 핵심 위험 |
|---|---|---|---|
| A01 | Broken Access Control | 2017의 5위 → 1위 | 권한 우회, IDOR, force browsing |
| A02 | Cryptographic Failures | 구 "Sensitive Data Exposure" 재명명 | 약한 암호화, TLS 미적용, 평문 저장 |
| A03 | Injection | 2017의 1위 → 3위 | SQLi, NoSQLi, XSS(이번 카테고리로 통합) |
| A04 | Insecure Design (신규) | — | 위협 모델링 부재, 안전한 패턴 부재 |
| A05 | Security Misconfiguration | — | 기본 크레덴셜, 디버그 모드, 과도한 권한 |
| A06 | Vulnerable and Outdated Components | — | 의존성 CVE, EOL 버전 |
| A07 | Identification and Authentication Failures | 구 "Broken Authentication" | 약한 패스워드, 세션 고정, 크리덴셜 스터핑 |
| A08 | Software and Data Integrity Failures (신규) | — | 무결성 없는 CI/CD, 서명 없는 업데이트, insecure deserialization |
| A09 | Security Logging and Monitoring Failures | 구 "Insufficient Logging" | 침해 탐지 지연 |
| A10 | Server-Side Request Forgery (SSRF) (신규) | — | 내부망 스캔, 클라우드 메타데이터 탈취 |
2021 vs 2017 주요 변화#
- Broken Access Control이 5→1위로 격상 (2017 대비 94% 테스트 대상에서 적어도 하나 발견)
- Insecure Design, SSRF, Software/Data Integrity Failures 3개 신규 추가
- XSS는 별도 카테고리에서 빠져 Injection(A03)으로 통합
- XXE는 Security Misconfiguration(A05)으로 통합
방어 체크리스트 (상위 5개)#
- A01: RBAC 서버사이드 검증, deny-by-default, object-level auth
- A02: TLS 1.2+, AES-GCM, 키 관리 (KMS/Vault),
Secure/HttpOnly쿠키 - A03: 파라미터라이즈드 쿼리, ORM, output encoding, CSP
- A04: threat modeling, secure-by-design review, limit blast radius
- A05: minimal base image, 권한 최소화,
X-Frame-Options/CSP/Strict-Transport-Security
Source#
- OWASP Top 10 2021: https://owasp.org/Top10/
- Raw data + methodology: https://owasp.org/Top10/A00_2021_Introduction/
- License: CC BY-SA 4.0 (OWASP Foundation)
- 조회일: 2026-04-19
Caveats#
- OWASP Top 10은 "발생 빈도 + 영향도"를 혼합한 인식 문서이지 체크리스트가 아님. 실제 방어는 ASVS(Application Security Verification Standard) 기반 권장
- 2024년판 초안 준비중 (조회 시점 기준 2021이 최신 공식)
Sagwan Revalidation 2026-04-18T23:31:42Z#
- verdict:
refresh - note: 2026년 현재 OWASP Top 10 신판(2024/2025 예정) 출시 가능성이 높으므로 최신 버전 존재 여부 확인 후 갱신 권장.