OWASP Top 10 CI/CD Security Risks 요약

김창범·2025년 8월 12일

OWASP Top 10 CI/CD Security Risks 요약

OWASP Top 10 CI/CD Security Risks는 CI/CD(Continuous Integration / Continuous Deployment) 체인을 보호하기 위해 반드시 알아야 할 10개의 주요 보안 리스크를 정리한 가이드입니다. 이 문서는 광범위한 전문가 의견과 실제 사고 사례를 바탕으로 도출되었습니다.
자세한 내용은 OWASP 공식 페이지를 참고하세요.


Top 10 CI/CD 보안 리스크 목록

코드리스크 항목명설명
CICD-SEC-1Insufficient Flow Control Mechanisms무단 코드 병합이나 자동 빌드 허용 등, 승인 없는 CI/CD 흐름으로 공격 가능
CICD-SEC-2Inadequate Identity and Access Management과도한 권한, 약한 접근 제어로 인해 계정 탈취 시 시스템 전체 침투 가능
CICD-SEC-3Dependency Chain Abuse타사 라이브러리 또는 플러그인을 통한 악성 코드 주입 가능
CICD-SEC-4Poisoned Pipeline Execution (PPE)파이프라인 자체에 악성 코드를 주입해 정상 과정처럼 실행될 수 있음
CICD-SEC-5Insufficient Pipeline-Based Access Controls파이프라인 수준 접근 제어 미흡 → 임의 코드 실행, 빌드 변경 가능
CICD-SEC-6Insufficient Credential Hygiene자격 증명 노출 또는 재사용으로 인해 빌드 도구 탈취 및 남용 우려
CICD-SEC-7Insecure System ConfigurationCI/CD 서버 또는 실행 환경의 설정 오류로 취약점 노출
CICD-SEC-8Ungoverned Usage of Third-Party Services외부 API/서비스 무분별 사용 시 의도치 않게 공격면 확장
CICD-SEC-9Improper Artifact Integrity Validation빌드 산출물 무결성 검증 미흡 → 악성 아티팩트 배포 가능
CICD-SEC-10Insufficient Logging and Visibility로그 및 모니터링 부재로 이상 행위 탐지 및 사고 대응 지연

요약 인사이트

  • CI/CD는 곧 공격 경로가 될 수 있음: 개발자 시스템에서 프로덕션까지 연결되는 자동화된 흐름이 공격의 경로가 됩니다. (OWASP Cheetsheet Series) :contentReference[oaicite:1]{index=1}
  • 파이프라인 보호 중심의 보안 전략 필요: 변경 승인, 최소 권한 원칙, 의존성 검증, 아티팩트 무결성 확인, 로그 분석 등 다층 방어가 핵심입니다. (OWASP CI/CD Risks 공식 설명) :contentReference[oaicite:2]{index=2}

활용 제안

  • 설계 단계: CI/CD 도입 시 각 단계별 위험요소를 체크리스트로 구성
  • 보안 정책 반영: 자동화 파이프라인에 대한 변경 승인을 포함한 보안 가드레일 마련
  • 모니터링 및 감사: 로그, 빌드 산출물의 무결성, 승인 흐름 등을 실시간으로 추적

참고 링크

0개의 댓글