OWASP Top 10은 가장 빈번한 웹 애플리케이션 보안 위험을 정리한 목록입니다. 모든 웹 개발자가 알아야 할 기본 보안 지식입니다.
OWASP Top 10 2026 — 웹 보안 필수 체크리스트
OWASP Top 10 기준 가장 흔한 웹 보안 취약점 10가지와 방어 방법을 정리한다. Injection, Broken Auth, XSS, SSRF 등 각 취약점의 공격 원리, 실제 사례, 코드 레벨 방어를 포함한다.
한 줄 요약: OWASP Top 10은 웹 애플리케이션의 가장 흔한 보안 위협 목록으로, Injection, Broken Authentication, XSS 등에 대한 방어를 필수적으로 구현해야 한다.
보안은 선택이 아닌 필수다. 이 가이드는 OWASP Top 10 2025 기준으로 각 취약점의 원리, 공격 시나리오, 방어 코드를 정리한다.
OWASP Top 10이란
A01: Broken Access Control — 가장 흔한 취약점. 권한 확인 없이 다른 사용자의 데이터에 접근 가능한 경우. /api/users/123/profile에서 123을 456으로 바꿨을 때 다른 사용자 정보가 보이면 IDOR(Insecure Direct Object Reference) 취약점이다. 방어: 모든 API에서 인증된 사용자의 리소스인지 확인.
A03: Injection — SQL Injection은 ORM이나 Prepared Statement로 방어한다. 직접 쿼리 문자열을 조합하는 것은 절대 금지. NoSQL Injection(MongoDB $gt, $ne 연산자 주입)도 주의해야 한다. A07: XSS — 사용자 입력을 HTML에 렌더링할 때 이스케이핑하지 않으면 스크립트가 실행된다. React/Next.js는 기본적으로 JSX에서 이스케이핑하지만, dangerouslySetInnerHTML은 XSS에 취약하다.
SQL Injection 방어 예시// ❌ 취약한 코드 const query = `SELECT * FROM users WHERE id = ${userId}`; // ✅ Prepared Statement const result = await db.query( 'SELECT * FROM users WHERE id = $1', [userId] ); // ✅ ORM (Prisma) const user = await prisma.user.findUnique({ where: { id: userId } });
핵심 5가지
- Broken Access Control: 인가되지 않은 기능/데이터 접근
- Injection: SQL, NoSQL, OS 명령어 삽입
- Cryptographic Failures: 암호화 미흡/오류
- Security Misconfiguration: 기본 설정 방치
- SSRF: 서버 측 요청 위조
실전 방어 코드
핵심 방어 원칙: 입력은 항상 검증, 출력은 항상 이스케이프, 최소 권한 원칙, 시크릿은 환경변수, 의존성 정기 업데이트.
프로덕션 보안 체크리스트
지금 바로:
npm audit를 실행해 현재 프로젝트의 의존성 취약점을 확인하라. Critical/High 취약점이 있으면 즉시 패치해야 한다.보안 도구 추천
의존성 스캔: npm audit(기본), Snyk(CI 통합), Socket.dev(공급망 공격 감지). 정적 분석: CodeQL(GitHub), Semgrep(커스텀 룰), SonarQube(종합). 동적 테스트: OWASP ZAP(무료), Burp Suite(유료). 시크릿 스캔: GitHub Secret Scanning, TruffleHog, git-secrets. CI/CD 파이프라인에 Snyk + CodeQL을 기본 포함시키면 대부분의 일반적인 취약점을 자동으로 차단할 수 있다.
owasp보안취약점웹체크리스트