# 21년도 26년도 Web Application(웹) 취약점 점검 항목 비교
전체 항목 수는 2021년 28개에서 2026년 21개로 조정되었습니다.
# 추가된 항목
3개의 항목이 신설되었습니다.
- 에러 페이지 적용 미흡 (EP): 에러 메시지를 통해 시스템 정보(DB 구조, 경로 등)가 노출되는 것을 방지하기 위한 항목입니다.
- 서버사이드 요청 위조(SSRF) (SF): 공격자가 서버를 통해 내부 시스템이나 외부 시스템으로 비정상적인 요청을 보내는 공격(SSRF)을 점검하는 항목이 추가되었습니다.
- 불필요한 Method 악용 (WM): PUT, DELETE 등 불필요한 HTTP Method가 활성화되어 발생할 수 있는 위험을 점검합니다.
# 통합 및 명칭 변경된 항목
[통합된 항목]
- 코드 인젝션 (Code Injection)으로 통합:
- 기존의 LDAP 인젝션, 운영체제 명령 실행, SSI 인젝션, XPath 인젝션 항목들이 모두 [코드 인젝션]이라는 하나의 항목으로 통합되었습니다. (XML, SSTI 인젝션 등도 포함)
- 불충분한 세션 관리로 통합:
- 기존의 세션 예측, 불충분한 세션 만료, 세션 고정 항목들이 [불충분한 세션 관리] 항목으로 통합되어 포괄적으로 점검합니다.
# 명칭 변경 항목
- 약한 문자열 강도 → 약한 비밀번호 정책: 단순히 문자열 강도뿐만 아니라 비밀번호 정책 전반을 점검하도록 명칭이 변경되었습니다.
- 불충분한 인증 → 불충분한 인증 절차: 인증 프로세스 전반을 점검하도록 구체화되었습니다.
- 불충분한 인가 → 불충분한 권한 검증: 권한 검증 미흡에 대한 점검을 명확히 하였습니다.
- 취약한 패스워드 복구 → 취약한 비밀번호 복구 절차
- 파일 업로드 → 악성 파일 업로드: 파일 업로드 기능 자체보다 악성 파일이 업로드되는 위협에 초점을 맞췄습니다.
- 크로스사이트 리퀘스트 변조 → 크로스사이트 요청 위조(CSRF): 용어를 표준화하였습니다.
# 삭제 항목
2026년 가이드 항목 리스트에서 제외된 항목들입니다. (일부는 다른 항목의 점검 과정에 포함되거나, 웹 애플리케이션 레벨에서 발생 빈도가 낮아진 취약점들입니다.)
- 버퍼 오버플로우: 웹 애플리케이션 레벨보다는 시스템/서비스 레벨 점검으로 간주되거나 최신 언어 프레임워크에서 발생 빈도가 낮아 제외된 것으로 보입니다.
- 포맷스트링: 버퍼 오버플로우와 마찬가지로 애플리케이션 코드 레벨의 고전적 취약점으로 제외되었습니다.
- 악성 콘텐츠: '악성 파일 업로드'나 '크로스사이트 스크립팅' 등으로 커버 가능하여 제외된 것으로 판단됩니다.
- 경로 추적 (Path Traversal): 별도 항목에서는 삭제되었으나, '파일 다운로드'나 '정보 누출' 항목 등에서 디렉터리 접근 통제를 함께 점검하는 추세입니다.
- 위치 공개: 주요 정보 누출 등의 항목으로 통합 관리될 수 있어 개별 항목에서 제외되었습니다.
| 구분 | 2021년 (AS-IS) |
2026년 (TO-BE) |
변경 내용 상세 |
| 인젝션 | LDAP, 운영체제 명령, SSI, XPath 인젝션 | 코드 인젝션 (통합) | 4개 항목 통합 |
| SQL 인젝션 | SQL 인젝션 | 유지 | |
| 세션 | 세션 예측, 만료, 고정 | 불충분한 세션 관리 (통합) | 3개 항목 통합 |
| 신설 | - | 에러 페이지 적용 미흡 | 신규 추가 |
| - | SSRF | 신규 추가 | |
| - | 불필요한 Method 악용 | 신규 추가 | |
| 삭제 | 버퍼 오버플로우, 포맷스트링, 악성 콘텐츠, 경로 추적, 위치 공개 | - | 항목 삭제 |
| 변경 | 약한 문자열 강도 | 약한 비밀번호 정책 | 명칭 변경 |
| 불충분한 인증/인가 | 불충분한 인증 절차/권한 검증 | 명칭 변경 | |
| 파일 업로드 | 악성 파일 업로드 | 명칭 구체화 |
2021년 가이드와 2026년 가이드의 Web Application(웹) 취약점 점검 항목 비교를 스프레드시트 형태로 만들어 봤습니다.
Web Application(웹) 항목의 비교 표를 확인해 보면 좋을 것 같습니다.
아무래도 누락된 부분이 있을 수도 있으니, 참고만 하길 바랍니다.
'100. IT & Security > 105. ETC' 카테고리의 다른 글
| 클라우드-2026년 주요정보통신기반시설 추가 (0) | 2026.01.08 |
|---|---|
| 가상화장비-2026년 주요정보통신기반시설 추가 (0) | 2026.01.06 |
| 이동통신-2026년 주요정보통신기반시설 수정/변경 (0) | 2026.01.05 |
| DBMS-2026년 주요정보통신기반시설 수정/변경 (0) | 2026.01.05 |
| 제어시스템-2026년 주요정보통신기반시설 수정/변경 (0) | 2026.01.05 |
