✅ [개념정리] OWASP Top 10 파헤치기 (1/10): A01 - 취약한 접근 통제 (Broken Access Control)

내 정보가 남에게? 웹 보안의 가장 큰 구멍, 취약한 접근 통제의 모든 것! 🚪

[들어가며: OWASP Top 10 정복 시리즈를 시작하며]

오늘부터 우리는 웹 애플리케이션 보안의 "필독서"와도 같은 OWASP Top 10을 하나씩 정복하는 여정을 시작하려고 해. OWASP(Open Web Application Security Project)는 웹 보안 강화를 목표로 하는 세계적인 비영리 단체로, 이들이 발표하는 Top 10 목록은 전 세계 개발자와 보안 전문가들이 반드시 알아야 할 가장 치명적인 웹 보안 취약점들을 정리한 것이야.

 

그 영광의(?) 첫 번째 자리를 차지한 취약점은 바로 A01: 취약한 접근 통제(Broken Access Control). 가장 흔하면서도 가장 위험한 취약점이라는 뜻이지. 그럼 지금부터 이 취약점이 무엇인지, 어떻게 우리를 위협하는지 자세히 알아보자!

---

Part 1: 취약한 접근 통제(Broken Access Control)란 무엇일까? 🤔

 

취약한 접근 통제란, 아주 간단히 말해 **"권한 없는 사용자가 제한된 리소스(데이터, 기능)에 접근 가능한 경우"**를 의미해. 즉, 사용자가 자신이 해서는 안 되는 행동을 하거나, 봐서는 안 되는 정보를 볼 수 있도록 시스템이 허용해 버리는 모든 상황이 여기에 해당돼.

 

🏨 호텔 비유로 쉽게 이해하기 내가 일반 객실 키를 받았는데, 이 키로 호텔의 모든 방은 물론이고 VVIP 스위트룸, 지배인 사무실까지 열 수 있다면 어떨까? 생각만 해도 아찔하지? 이게 바로 취약한 접근 통제야. 시스템이 사용자의 "신분(인증)"은 확인했지만, 그 신분에 맞는 "권한(인가)"을 제대로 확인하고 통제하지 않은 거지.

왜 이게 1위일까? 이 취약점은 정말 흔하게 발견되고, 일단 뚫리면 정보 유출, 데이터 변조 및 삭제, 관리자 권한 탈취 등 아주 심각한 피해로 직결되기 때문에 OWASP Top 10에서 가장 중요한 첫 번째 항목으로 꼽히고 있어.

---

Part 2: 어떻게 공격이 발생할까? (취약한 접근 통제의 흔한 유형)

그렇다면 공격자들은 이 접근 통제의 허점을 어떻게 파고들까? 몇 가지 대표적인 공격 시나리오를 통해 알아보자.

유형 1: URL 직접 조작 (강제 브라우징 / IDOR) 가장 흔하고 단순한 공격 방식이야. 사용자가 URL 주소의 파라미터 값만 바꿔서 다른 사용자의 정보에 접근하는 거지.

• 시나리오:
  1. 'taegi'라는 사용자가 로그인 후 자신의 게시글(post_id=101)을 보는 페이지 주소는 https://myblog.com/view?post_id=101 이야.
  2. 이때 'taegi'가 주소창의 숫자를 https://myblog.com/view?post_id=102로 바꿨더니, 본 적도 없는 다른 사람의 비공개 글이 보여!
• 문제점: 서버가 "로그인한 사용자인가?"만 확인하고, "이 사용자가 102번 글을 볼 권한이 있는가?"를 확인하는 절차를 빠뜨린 거야.

유형 2: 권한 상승 (Privilege Escalation) 일반 사용자가 관리자만 접근할 수 있는 페이지나 기능을 사용할 수 있게 되는 경우야.

• 시나리오:
  1. 일반 사용자로 로그인한 'taegi'는 관리자 페이지 버튼이 보이지 않아.
  2. 하지만 혹시나 하는 마음에 주소창에 https://myblog.com/admin/user_list라고 직접 입력했더니, 모든 회원 목록이 담긴 관리자 페이지가 떡하니 열려버렸어!
• 문제점: 개발자가 관리자 페이지로 가는 링크를 메뉴에서 숨겨놓기는 했지만, 해당 페이지 자체에 "오직 관리자만 접근 가능!"이라는 접근 통제 로직을 적용하는 것을 잊어버린 거지.

유형 3: 파일 경로 조작 (Path Traversal) 공격자가 URL이나 파라미터에 파일 경로를 조작하는 문자(../ 등)를 넣어서, 원래 접근해서는 안 되는 시스템의 민감한 파일에 접근하는 공격이야.

• 시나리오:
  1. 사용자가 https://myblog.com/download?file=mypic.jpg 주소를 통해 파일을 다운받을 수 있어.
  2. 공격자가 이 주소를 https://myblog.com/download?file=../../../../etc/passwd 와 같이 조작했더니, 서버의 사용자 정보가 담긴 시스템 파일이 다운로드돼.
• 문제점: 서버가 file 파라미터로 들어온 값에 ../ 같은 위험한 문자가 포함되어 있는지 제대로 검사하지 않고 파일 경로로 그대로 사용한 거야.

---

Part 3: 어떻게 막을 수 있을까? (대응 방안)

이 무서운 취약점을 막으려면, "아무도 믿지 마, 계속 확인해!"라는 제로 트러스트의 기본 원칙을 애플리케이션에 적용해야 해.

1. 기본은 거부 (Default Deny) 원칙 적용: 가장 중요한 원칙이야! 모든 접근은 기본적으로 차단하고, 오직 특정 역할이나 사용자에게만 꼭 필요한 접근을 명시적으로 허용하는 '화이트리스트' 방식으로 정책을 수립해야 해.
2. 모든 요청에 대한 권한 검증: 사용자의 눈에 보이는 모든 요청(클라이언트 측)뿐만 아니라, 서버에 도달하는 모든 요청에 대해 서버 측에서 사용자의 권한을 매번 다시 확인해야 해. "이 사용자가 이 데이터/기능에 접근할 권한이 정말 있는가?"를 끊임없이 물어야 해.
3. 중앙 집중식 권한 관리: 접근 통제 로직을 여러 페이지에 흩어서 만들면 실수가 발생하기 쉬워. 권한 검증 로직은 한 곳에서 중앙 집중적으로 관리하고, 모든 페이지나 기능이 이 중앙 로직을 재사용하도록 설계하는 것이 안전해.
4. 역할 기반 접근 제어 (RBAC) 사용: 개별 사용자마다 일일이 권한을 부여하는 것보다 '관리자', '편집자', '일반회원' 등과 같은 역할(Role)을 정의하고, 각 역할에 맞는 권한을 부여한 뒤 사용자에게는 역할을 할당하는 방식이 훨씬 관리하기 쉽고 안전해.
5. 사용자에게 노출되는 정보 최소화: 사용자의 권한에 따라 접근할 수 없는 메뉴나 버튼은 아예 처음부터 보이지 않도록 처리해서 공격의 빌미를 주지 않는 것이 좋아. (물론, 이건 편의성을 위한 것이고 진짜 보안은 서버 측에서 이뤄져야 해!)

---

[마무리하며 ✨]

오늘은 OWASP Top 10의 첫 번째 항목인 '취약한 접근 통제'에 대해 알아봤어. 결국 이 취약점은 인증(Authentication)은 되었지만, 인가(Authorization)가 제대로 되지 않았을 때 발생하는 문제라고 요약할 수 있어.

"로그인했으니 괜찮겠지?"라는 안일한 생각이 가장 큰 위험이야! 모든 요청을 의심하고, 모든 접근을 검증하는 꼼꼼한 습관이 우리 웹사이트를 지키는 가장 강력한 무기라는 점, 꼭 기억하자!

다음 시간에는 두 번째 취약점, "A02: 암호화 실패 (Cryptographic Failures)" 에 대해 자세히 알아볼게! 기대해도 좋아! 😊