OWASP API Security Top 10 (2023) 요약

김창범·2025년 8월 12일

OWASP API Security Top 10 (2023) 요약

OWASP API Security Top 10 (2023)은 최신 API 보안 위협을 반영한 핵심 취약점 목록입니다. API1부터 API10까지 조직에서 반드시 점검해야 할 항목을 소개합니다. (출처: OWASP 공식 문서)


API 보안 위험 목록 (2023)

코드항목명설명
API1Broken Object Level Authorization객체 ID 기반 접근제어 오류로 인해 타인 자원 접근 가능
API2Broken Authentication인증 구현 오류로 인해 사용자 자격 증명 탈취 또는 우회
API3Broken Object Property Level Authorization객체 속성 단위 권한 검증 부족 → 민감 데이터 접근/변조 가능
API4Unrestricted Resource Consumption자원 사용 제한 부재, DoS 또는 비용 증가 여지 있음
API5Broken Function Level Authorization기능 단위 권한 오류로 인해 관리자 기능 등 부적절 접근 가능
API6Unrestricted Access to Sensitive Business Flows비즈니스 흐름 노출로 자동화 악용 시 심각한 운영 영향
API7Server Side Request Forgery (SSRF)서버가 사용자 입력을 통해 내부 시스템 요청 실행 위험
API8Security MisconfigurationAPI 구성 설정 오류로 인해 보안 위협 노출 가능
API9Improper Inventory ManagementAPI 자원 목록 최신화 부족 → 공격면 탐지·관리 곤란
API10Unsafe Consumption of APIsAPI 클라이언트 측 부적절 사용으로 인증 우회·데이터 노출 가능

인사이트

  • 중복 항목 정리: API3는 2019년의 Excessive Data Exposure와 Mass Assignment를 통합한 항목입니다.
  • 신규 항목 추가: API6, API7, API10이 2023년 리스트에 새롭게 포함되었습니다.
  • 유지 항목: API1, API2, API5, API8은 이전 목록과 동일한 중요 항목으로 유지되었습니다.
    :contentReference[oaicite:1]{index=1}

활용 팁

  • 설계/코드 리뷰 체크리스트로 반영해서 누락 없는 권한 검증과 자원 제한 구현
  • 자동화 테스트 대상 삽입 (예: SSRF 방어, 리소스 제한 검사)
  • API 관리 정책 강화: 인벤토리 관리, 클라이언트 호출 검증, 이상 트래픽 모니터링 등
  • 교육 자료 활용: 개발자 대상 API 보안 인지 향상 목적 전달

참고 링크

  • OWASP API Security Top 10 (2023 공식 페이지)
    https://owasp.org/API-Security/editions/2023/en/0x11-t10/
    :contentReference[oaicite:2]{index=2}

0개의 댓글