OWASP Top 10 Client-Side Security Risks 요약

김창범·2025년 8월 12일

OWASP Top 10 Client-Side Security Risks 요약

OWASP Top 10 Client-Side Security Risks는 브라우저(클라이언트)에서 실행되는 코드—HTML, CSS, JavaScript, Web Assembly 등—를 대상으로 한 주요 보안 위협을 정리한 가이드입니다. 클라이언트 측 특유의 위험을 명확히 인식하고 대응하도록 돕기 위한 문서입니다.
원문은 OWASP 공식 페이지에서 확인할 수 있습니다.


주요 보안 위험 항목

코드항목명설명
1. Broken Client-side Access Control클라이언트 측 접근 제한의 부재JavaScript 로직을 통한 비인가 접근, DOM 조작 등에 취약
2. DOM-based XSSDOM 기반 Cross-Site Scripting사용자 입력이 DOM을 통해 스크립트로 실행되는 취약점 (서버 비개입)
3. Sensitive Data Leakage민감 데이터 유출트래커, 픽셀 등을 통한 개인정보 노출 및 법적 리스크
4. Vulnerable and Outdated Components취약/오래된 라이브러리 사용클라이언트 측 라이브러리에 알려진 취약점 포함 가능성
5. Lack of Third-party Origin Control서드파티 출처 제어 부족외부 코드가 사이트의 도메인 데이터에 접근할 수 있는 위험
6. JavaScript DriftJS 코드 변화 감지 실패타사 코드 또는 스크립트 변경 여부를 모니터링하지 않음
7. Sensitive Data Stored Client-Side클라이언트 측 민감 정보 저장LocalStorage 등 브라우저 저장소에 암호·토큰·개인정보 저장
8. Client-side Logging & Monitoring Failures클라이언트 로깅/모니터링 부실동적 페이지 구성 시 클라이언트 오류나 이상 동작이 감지되지 않음
9. Not Using Standard Browser Security Controls브라우저 보안 기능 미활용CSP, iframe sandbox, Subresource Integrity 등 미적용
10. Including Proprietary Information on the Client-Side민감 비즈니스 정보 노출소스 코드에 알고리즘, 개발자 코멘트, 기밀 정보 포함

요약 인사이트

  • 대상: 브라우저 기반 애플리케이션을 다루는 프론트엔드 개발자, 보안 담당자
  • 목표:
    • 클라이언트 환경에서는 서버와 달리 코드가 사용자의 브라우저에서 실행되므로 별도의 보안 고려가 필요
    • 위 항목들은 일반적인 OWASP Top 10(Web)과 중복되지만, 클라이언트 특화 규범을 다룹니다

활용 가이드

  • 자바스크립트 저장소, 브라우저 로컬스토리지 등 클라이언트 환경을 파악하고 보안 체크리스트 항목으로 구성
  • CI/CD 또는 빌드 플로우에 포함하여 서드파티 라이브러리 자동 검증 도입
  • CSP, SRI, iframe sandbox와 같은 브라우저 보안 기능 활성화
  • 클라이언트 오류 및 동작에 대한 모니터링 도구 구현

참고 링크

  • OWASP Top 10 Client-Side Security Risks (공식 페이지)
    https://owasp.org/www-project-top-10-client-side-security-risks/

0개의 댓글