A06:2021-Vulnerable and Outdated Components

소개

본 취약점은 소프트웨어 개발 시 사용된 구성 요소(라이브러리, 프레임워크 등)가 취약점이 발견되어 있거나 최신 버전이 아닌 경우 발생할 수 있습니다. 이러한 취약점은 공격자가 취약점을 이용하여 시스템에 대한 악의적인 행위를 수행할 수 있습니다. 예를 들어, 개발자가 오픈 소스 라이브러리를 사용하여 웹 애플리케이션을 개발하는 경우 해당 라이브러리에 취약점이 발견되었을 수 있습니다. 이 경우 해당 라이브러리를 업데이트하여 취약점을 해결하거나 대체할 수 있습니다. 그러나 업데이트하지 않고 사용하면 공격자가 해당 취약점을 이용하여 시스템에 침입할 수 있습니다. 또 다른 예로, 서버 운영자가 운영체제나 웹 서버 소프트웨어를 최신 버전으로 업데이트하지 않은 경우 해당 소프트웨어에 이미 알려진 취약점이 있을 수 있습니다. 이 경우 공격자는 해당 취약점을 이용하여 시스템에 대한 제어권을 획득할 수 있습니다. 이러한 취약점을 방지하기 위해서는 보안 취약점을 최소화하기 위해서는 소프트웨어 개발 및 운영 시에 사용되는 모든 구성 요소(라이브러리, 프레임워크, 운영체제 등)를 최신 버전으로 유지하고 취약점에 대한 지속적인 모니터링이 필요합니다. 또한 취약점을 해결하는 업데이트 및 패치를 적시에 적용해야 합니다.

[그림1] Vulnerable and Outdated Components 예제

취약한 예

1. 구버전 라이브러리 사용: 악의적인 공격자는 구버전의 라이브러리에서 이미 알려진 취약점을 악용하여 시스템에 침입할 수 있습니다. 만약 개발자가 최신 버전의 라이브러리를 사용하지 않고 예전 버전을 계속 사용한다면 시스템에 취약점이 존재할 수 있습니다.
2. 사용하지 않는 라이브러리 또는 프레임워크의 존재: 프로젝트에 사용하지 않는 라이브러리나 프레임워크가 여전히 설치되어 있으면, 악의적인 공격자는 이러한 구성 요소를 공격하는 방법을 알 수 있으며 시스템에 악영향을 미칠 수 있습니다.

참고자료

https://owasp.org/Top10

https://www.bugbountyclub.com/