2023년 OWASP Top 10 API 보안 위험 목록

2023년 OWASP Top 10 API 보안 위험 목록은 API 보안에 있어 가장 중요한 위험들을 강조합니다. 각 항목의 설명은 다음과 같습니다:

1. API1:2023 - 부적절한 객체 수준 권한 부여 (Broken Object Level Authorization):

   • API는 객체 식별자를 다루는 엔드포인트를 노출하는 경향이 있으며, 이로 인해 객체 수준 접근 제어 문제가 발생합니다. 사용자로부터 ID를 사용하여 데이터 소스에 접근하는 모든 함수에서 객체 수준 권한 부여 검사를 고려해야 합니다.

2. API2:2023 - 부적절한 인증 (Broken Authentication):

   • 인증 메커니즘은 종종 잘못 구현되어, 공격자가 인증 토큰을 탈취하거나 다른 사용자의 신원을 일시적 또는 영구적으로 가정하는 구현상의 결함을 악용할 수 있습니다. 시스템이 클라이언트/사용자를 식별하는 능력을 손상시키면 API 보안 전반에 영향을 줍니다.

3. API3:2023 - 부적절한 객체 속성 수준 권한 부여 (Broken Object Property Level Authorization):

   • 이 카테고리는 API3:2019 과도한 데이터 노출과 API6:2019 대량 할당을 결합하며, 객체 속성 수준에서 부적절하거나 부재하는 권한 검증이 근본 원인입니다. 이로 인해 무단 당사자에 의한 정보 노출 또는 조작이 발생할 수 있습니다.

4. API4:2023 - 무제한 자원 소비 (Unrestricted Resource Consumption):

   • API 요청을 처리하기 위해서는 네트워크 대역폭, CPU, 메모리 및 저장소와 같은 자원이 필요합니다. 이메일/SMS/전화 통화 또는 생체 인증 검증과 같은 다른 자원은 서비스 제공업체를 통해 API 통합을 통해 사용 가능하며 요청당 비용이 청구됩니다. 성공적인 공격은 서비스 거부 또는 운영 비용 증가로 이어질 수 있습니다.

5. API5:2023 - 부적절한 기능 수준 권한 부여 (Broken Function Level Authorization):

   • 다양한 계층, 그룹 및 역할을 가진 복잡한 접근 제어 정책과 관리적 기능과 일반 기능 간 명확하지 않은 구분은 권한 부여 결함으로 이어질 수 있습니다. 이러한 문제를 악용함으로써 공격자는 다른 사용자의 자원 및/또는 관리 기능에 접근할 수 있습니다.

6. API6:2023 - 민감한 비즈니스 흐름에 대한 무제한 접근 (Unrestricted Access to Sensitive Business Flows):

   • 이 위험에 취약한 API는 티켓 구매 또는 댓글 게시와 같은 비즈니스 흐름을 노출하지만, 자동화된 방식으로 과도하게 사용될 경우 비즈니스에 해를 끼칠 수 있는 기능에 대한 보상을 고려하지 않습니다. 이는 반드시 구현 버그에서 나오는 것은 아닙니다.

7. API7:2023 - 서버 측 요청 위조 (Server Side Request Forgery):

   • 사용자 제공 URI를 검증하지 않고 API가 원격 리소스를 가져올 때 서버 측 요청 위조(SSRF) 결함이 발생할 수 있습니다. 이를 통해 공격자는 애플리케이션을 속여 방화벽이나 VPN으로 보호되는 예기치 않은 목적지로 조작된 요청을 보낼 수 있습니다.

8. API8:2023 - 보안 설정 오류 (Security Misconfiguration):

   • API와 이를 지원하는 시스템은 일반적으로 복잡한 구성을 포함하며, 이는 API를 더 맞춤화할 수 있게 합니다. 소프트웨어 및 DevOps 엔지니어는 이러한 구성을 놓치거나 구성과 관련된 보안 모범 사례를 따르지 않을 수 있으며, 이는 다양한 유형의 공격에 문을 열 수 있습니다.

9. API9:2023 - 부적절한 재고 관리 (Improper Inventory Management):

   • API는 전통적인 웹 애플리케이션보다 더 많은 엔드포인트를 노출하는 경향이 있어, 적절하고 최신의 문서 작성이 매우 중요합니다. 호스트 및 배포된 API 버전의 적절한 재고도 중요하며, 이는 폐기된 API 버전 및 노출된 디버그 엔드포인트와 같은 문제를 완화하는 데 도움이 됩니다.

10. API10:2023 - API의 안전하지 않은 사용 (Unsafe Consumption of APIs):

    • 개발자는 사용자 입력보다 제3자 API에서 받은 데이터를 더 신뢰하는 경향이 있으며, 따라서 보안 표준을 약화시키는 경향이 있습니다. API를 손상시키기 위해 공격자는 대상 API를 직접 공격하기보다는 통합된 제3자 서비스를 공격합니다.