OWASP Top 10 CI/CD Security Risks는 CI/CD(Continuous Integration / Continuous Deployment) 체인을 보호하기 위해 반드시 알아야 할 10개의 주요 보안 리스크를 정리한 가이드입니다. 이 문서는 광범위한 전문가 의견과 실제 사고 사례를 바탕으로 도출되었습니다.
자세한 내용은 OWASP 공식 페이지를 참고하세요.
| 코드 | 리스크 항목명 | 설명 |
|---|---|---|
| CICD-SEC-1 | Insufficient Flow Control Mechanisms | 무단 코드 병합이나 자동 빌드 허용 등, 승인 없는 CI/CD 흐름으로 공격 가능 |
| CICD-SEC-2 | Inadequate Identity and Access Management | 과도한 권한, 약한 접근 제어로 인해 계정 탈취 시 시스템 전체 침투 가능 |
| CICD-SEC-3 | Dependency Chain Abuse | 타사 라이브러리 또는 플러그인을 통한 악성 코드 주입 가능 |
| CICD-SEC-4 | Poisoned Pipeline Execution (PPE) | 파이프라인 자체에 악성 코드를 주입해 정상 과정처럼 실행될 수 있음 |
| CICD-SEC-5 | Insufficient Pipeline-Based Access Controls | 파이프라인 수준 접근 제어 미흡 → 임의 코드 실행, 빌드 변경 가능 |
| CICD-SEC-6 | Insufficient Credential Hygiene | 자격 증명 노출 또는 재사용으로 인해 빌드 도구 탈취 및 남용 우려 |
| CICD-SEC-7 | Insecure System Configuration | CI/CD 서버 또는 실행 환경의 설정 오류로 취약점 노출 |
| CICD-SEC-8 | Ungoverned Usage of Third-Party Services | 외부 API/서비스 무분별 사용 시 의도치 않게 공격면 확장 |
| CICD-SEC-9 | Improper Artifact Integrity Validation | 빌드 산출물 무결성 검증 미흡 → 악성 아티팩트 배포 가능 |
| CICD-SEC-10 | Insufficient Logging and Visibility | 로그 및 모니터링 부재로 이상 행위 탐지 및 사고 대응 지연 |
OWASP Top 10 CI/CD Security Risks (공식 페이지)
https://owasp.org/www-project-top-10-ci-cd-security-risks/
OWASP CI/CD Security Cheat Sheet – 추천 실무 보안 구현 지침
https://cheatsheetseries.owasp.org/cheatsheets/CI_CD_Security_Cheat_Sheet.html :contentReference[oaicite:3]{index=3}