웹 어플리케이션 보안 연구단체인 OWASP가 최근 API 보안에 관한 새로운 프로젝트를 시작해 진행 중이다. 5월 20일 미국 뉴올리언스에서 열린 놀라콘(NolaCon) 보안 컨퍼런스에서 OWASP의 데이비드 쇼는 API 보안 위험과 위협 완화 정보 제공을 위하여 API 보안 체크리스트 Top 10 OWASP 프로젝트를 시작했다고 발표했다.
Top 10 리스트는 미국 및 호주 클라우드 보안회사 버그크라우드(Bugcrowd)의 데이터와 산업 설문 피드백, 언론 보도 주요 사고 등을 토대로 선정될 예정으로, 현재까지 임시 구성된 리스트는 9개로 다음과 같다(일련 번호는 중요도와 상관없음). 데이비드 쇼는 Top 10 리스트 프로젝트를 성공적으로 마칠 수 있도록 보안 연구원들의 의견과 협조를 당부했다.
- 데이터의 부적절한 완전 삭제 (Improper Data Sanitization)
- 미흡한 액세스 제어 (Insufficient Access Control)
- 안전치 못한 직접 객체 참조 (Insecure Direct Object Reference)
- 안전치 못한 TLS (Insufficient Transport Layer Security)
- 민감한 데이터 노출 (Sensitive Data Exposure)
- 약한 서버-사이드 보안 (Weak Server-Side Security)
- 부적절한 키 처리 (Improper Key Handling)
- API 기능성 불일치 (Inconsistent API Functionality)
- 잘못된 보안 설정 (Security Misconfiguration)
아래는 컨퍼런스 발표 동영상이다.