OWASP Top 10 Mobile 2024, 정리해 드립니다

OWASP Mobile Top 10 2024

미국의 비영리단체 OWASP(Open Web Application Security Project)는 웹과 모바일 애플리케이션 보안과 취약점 등을 연구하며 10대 웹/모바일 애플리케이션 취약점(OWASP Top 10)을 발표하고 있습니다. 2016년 10대 모바일 위협에 대해 발표한 후, OWASP Mobile Top 10 2024를 아래와 같이 공개했습니다.

1. 부적절한 자격 증명 사용(Improper Credential Usage)

하드코딩된 자격 증명을 사용하거나 안전하지 않은 자격 증명 관리할 경우 위협에 노출됩니다.

2. 불충분한 공급망 보안(Inadequate Supply Chain Security)

해커는 모바일 앱의 코드베이스에 악성 코드를 추가하거나, 빌드 프로세스 중 코드를 수정해 백도어, 스파이웨어 등 다른 악성 코드를 삽입하여 공격합니다. 이를 통해 앱 서명 키, 인증서가 악성 코드를 신뢰하게 됩니다. 해커는 데이터를 도용하거나 유저들을 감시하는 것은 물론, 그들의 모바일 기기를 맘대로 통제할 수 있습니다. 특히 서드파티에서 개발한 모바일 앱, 라이브러리 및 구성 요소에 의존하는 경우 더욱 취약점에 노출됩니다.

3. 보안에 취약한 인증 및 권한 부여(Insecure Authentication/Authorization)

모바일 앱 보안을 평가하는 데 있어 ‘인증’과 ‘권한’을 구별하는 것은 중요합니다. ‘인증’은 개인을 식별하고, ‘권한’은 특정 작업에 필요한 권한이 있는지 확인합니다. 즉, 모바일 기기에서 인증 요청하면 즉시 권한 확인으로 이어집니다.

4. 부족한 입력/출력 검증(Insufficient Input/Output Validation)

사용자가 입력하거나 네트워크 데이터 등 외부 소스 데이터에 대한 충분한 검증을 하지 않으면 심각한 보안 취약점이 발생하게 됩니다. 이는 SQL 인젝션, 커맨드 인젝션 그리고 사이트 간 스크립팅(XSS)과 같은 모바일 환경에 특화된 공격을 통해 악용될 수 있습니다.

5. 안전하지 않은 통신(Insecure Communication)

모바일 애플리케이션은 하나 이상의 원격 서버와 데이터를 교환합니다. 모바일 vs 모바일 통신, 앱 vs 서버 통신, 모바일 vs 다른 통신을 포함하며 여기서 언급하는 통신은 TCP/IP, WiFi, Bluetooth/Bluetooth-LE, NFC, 오디오, 적외선, GSM, 3G, SMS 등 모바일 장치에서 사용할 수 있는 모든 통신 기술을 의미합니다. 해커는 이 접점을 통해 중간자 공격(Man In The Middle, MITM)으로 두 명 이상의 당사자 간 대화를 손쉽게 도청하거나 읽을 수 있습니다.

6. 불충분한 개인 정보 보호 제어(Inadequate Privacy Controls)

앱에서 특정 형태의 개인 식별 정보를 처리하는 경우 이러한 위험에 노출됩니다. 앱에서의 PII는 서버에서 확인할 수 있는 클라이언트 앱의 IP 주소, 앱 사용 로그 등 메타데이터 대부분입니다.

7. 부족한 바이너리 보호(Insufficient Binary Protections)

앱 바이너리는 리버스 엔지니어링, 코드 변조와 같은 공격으로 나타납니다. 특히 인기 있는 앱은 앱스토어를 통해 조작되고 재배포될 가능성이 높습니다.

8. 잘못된 보안 구성(Security Misconfiguration)

무단 액세스로 이어질 수 있는 적절하지 않은 보안 설정, 권한과 제어 구성의 부적절함을 의미합니다. 약한 암호화, 해싱 알고리즘도 민감한 정보에 액세스하는 것에 악용됩니다.

9. 안전하지 않은 데이터 저장소(Insecure Data Storage)

공격자는 취약성을 악용하여 중요한 정보에 무단 액세스하는 것을 목표로 합니다. 취약한 암호화, 안전하지 않은 데이터 저장 매커니즘, 유저 자격 증명의 부적절한 처리 등은 보안에 매우 취약합니다.

10. 불충분한 암호화(Insufficient Cryptography)

해커들은 민감한 데이터를 해독하고 암호화 알고리즘을 구현해 탈취하고 사이버 범죄를 범합니다. 유저는 물론 앱 개발사의 비즈니스에 치명적인 악영향을 끼칩니다.

--

이번 리스트에는 사용자 인증 및 권한 부여나 개인 정보 보호 제어 등 유저의 정보나 데이터 유출에 대한 우려가 추가되었습니다. 모바일 애플리케이션에서 민감한 개인 정보를 다수 다루고 있기 때문인 것으로 보입니다.