A04:2021-Insecure Design

소개

본 취약점은 시스템 설계나 구현 과정에서 보안 고려가 부족하여 발생하는 취약점으로 2021년도에 새롭게 추가된 보안 문제입니다. 이러한 문제는 시스템 설계나 구현 단계에서 보안 고려를 하지 않고 기능 구현에만 집중하는 경우, 시스템의 보안성이 크게 저하될 수 있습니다. 소프트웨어의 보안성을 확보하기 위해서는 소프트웨어 개발 생명주기(SDLC)의 설계 단계에서부터 보안을 고려되어야 합니다. 이러한 취약점은 다양한 형태로 나타날 수 있습니다. 이러한 취약점을 방지하기 위해서는 보안 아키텍처 설계, 접근 제어 설정, 인증 및 인가 설정 등을 수행해야 합니다.또한, 보안 업데이트 및 정기적인 감사를 수행하여 취약점을 최소화해야 합니다.

[그림1] Insecure Design 취약점 예제

취약한 예

1. 비밀번호 보안 정책 부재 : 암호화되지 않은 비밀번호를 저장하거나, 약한 암호화 알고리즘을 사용하여 비밀번호를 암호화하는 경우, 해커가 쉽게 비밀번호를 탈취할 수 있습니다.
2. 권한 분리 부재 : 다른 권한을 가진 사용자들이 서로 영향을 미치거나, 비인가된 사용자가 시스템에 접근할 수 있는 경우, 중요한 데이터나 시스템 기능이 노출될 수 있습니다.
3. 보안 이벤트 로깅 부재 : 보안 이벤트 로깅을 통해 시스템에서 발생한 보안 이벤트를 추적하고, 이에 대한 대응을 수행할 수 있습니다. 하지만 보안 이벤트 로깅을 제대로 구현하지 않으면, 보안 위협에 대한 대응이 늦어질 수 있습니다.
4. 중요 데이터 보호 부재 : 중요 데이터를 보호하기 위해 암호화를 수행하지 않거나, 약한 암호화 알고리즘을 사용하는 경우, 해커가 중요한 데이터를 탈취하거나 조작할 수 있습니다.

참고자료

https://owasp.org/Top10

https://www.bugbountyclub.com/