iso 27001와 owasp top 10

[키보드보드]

iso 27001와 owasp top 10는 최근 개정이 된걸로 알고 있는데 이런건 구판을 보기 보다는 개정된 부분을 집중적으로 공부하는게 좋을까요?

[홍재연]

그렇습니다

[홍재연]

// ISO/IEC 27001:2013과 ISO/IEC 27001:2022 차이점

ISO/IEC 27001:2013 : 14개 통제영역에 114개 통제항목으로 재구성
ISO/IEC 27001:2022 : 4개 테마에 93개 통제항목으로 재구성

• ISO/IEC 27001:2013과 2022의 가장 큰 차이점은 정보보안 통제의 현대화 및 구조 변경이다.

[홍재연]

그런데, ISO/IEC 27001:2022는 아직까지 출제되지 않았습니다.

[홍재연]

// OWASP Top 10 2023년
1. 불안전한 객체 수준의 권한(broken object level authorization)
2. 불안전한 인증(broken authentication)
3. 불안전한 객체 속성 수준의 권한(broken object property level authorization)
4. 제한되지 않은 자원 사용(unrestricted resource consumption)
5. 불안전한 기능 수준의 인증(broken function level authorization)
6. 민감한 비즈니스 흐름에 대한 무제한 접근(unrestricted access to sensitive business flows)
7. 서버 요청 위조(SSRF. server side request forgery)
8. 잘못된 보안 설정(security misconfiguration)
9. 부적절한 재고 관리(improper inventory management)
10. 안전하지 않은 API 사용(unsafe consumption of APIs)

[홍재연]

// OWASP Top 10 2025년
A01 취약한 접근제어(broken access control)
A02 보안 설정 오류(security misconfiguration)
A03 소프트웨어 공급망 실패(software supply chain failures) - 신규
A04 암호화 실패(cryptographic failures)
A05 인젝션(injection)
A06 불안정 설계(insecure design)
A07 인증 실패(authentication failures)
A08 소프트웨어 및 데이터 무결성 실패(software or data integrity failures)
A09 보안 기록 및 경고 실패(logging & alerting failures)
A10 예외적 조건의 부적절한 처리(mishandling of exceptional conditions) - 신규

[홍재연]

// OWASP Mobile Top 10 2024년
m1. 부적절한 자격 증명 사용(improper credential usage)
m2. 불충분한 공급망 보안(inadequate supply chain security)
m3. 보안에 취약한 인증 및 권한 부여(insecure authentication/authorization)
m4. 부족한 입력/출력 검증(insufficient input/output validation)
m5. 안전하지 않은 통신(insecure communication)
m6. 불충분한 개인정보 보호 제어(inadequate privacy controls)
m7. 부족한 바이너리 보호(insufficient binary protections)
m8. 잘못된 보안 구성(security misconfiguration)
m9. 안전하지 않은 데이터 저장소(insecure data storage)
m10. 불충분한 암호화(insufficient cryptography)


요즘은 Mobile Top 10도 발표합니다

[홍재연]

OWASP Top 10은 과거에 몇번 출제되었는데
최근에는 출제되지 않고 있습니다.

[키보드보드]

친절한 답변 감사합니다. 참고해서 공부하겠습니다