Invisible Safety,
Proven by Intelligence
보이지 않는 안전을 인텔리전스로 증명하다.
기술 노트
IT 산업의 변화를 이끄는 MDS인텔리전스의
기술 인사이트를 만나보세요.
기술 인사이트를 만나보세요.
시스템 소프트웨어 개발
[CodeSonar] CWE Top 25 대응하기 위한 필수 Tool, CodeSonar
2026년 02월 20일
CWE Top 25 Most Dangerous Software Weaknesses
2022년 CWE Top 25는 이전 2년 동안의 총 37,899개의 CVE 레코드를 이용하여 보급률과 심각도를 기준으로 각 약점의 점수를 측정한 데이터에 공식을 적용한 상위 25개 약점입니다.
보안 취약점 사례
지난 2021년, CVE-2021-21224 취약점이 공개되었습니다.
이 취약점은 정수형 데이터 타입 변환을 수행할 때 유발되며, 임의의 메모리 읽기/쓰기 처리 시 Out-of-Bound 조건이 발생할 수 있습니다.
크롬의 기술 프로그램 관리자는 “해당 취약점이 실제 공격에 악용된다는 제보를 받아 구글이 이를 인지하고 있다"라고 밝혔습니다. 구글은 해당 취약점에 대해 공개된 지 일주일 만에 패치를 진행했습니다.
출처 : https://thehackernews.com/2021/04/update-your-chrome-browser-immediately.html
실제로 공격자들이 공격 시 가장 많이 사용하고 선호하는 취약점은 OOB(Out-Of-Bounds) 취약점이라고 알려져 있습니다.
OOB 취약점은 Heap 메모리에서 발생하는 취약점 중 가장 강력한 취약점 중 하나로, 배열의 길이를 속여 해당 길이만큼의 메모리를 읽기/쓰기가 가능하기 때문에 공격자는 기밀 정보에 대해 무단으로 접근하여 악용할 수 있습니다.
아래 공개된 2022 CWE Top 25 리스트에서도 OOB 취약점 관련 항목은 각각 가장 상위 랭크인 1위와 5위에 위치해 있음을 확인할 수 있습니다.
2022 CWE Top 25
| Rank | CWE ID | Name |
| 1 | CWE-787 | Out-of-bounds Write |
| 2 | CWE-79 | Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') |
| 3 | CWE-89 | Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') |
| 4 | CWE-20 | Improper Input Validation |
| 5 | CWE-125 | Out-of-bounds Read |
| 6 | CWE-78 | Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') |
| 7 | CWE-416 | Use After Free |
| 8 | CWE-22 | Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') |
| 9 | CWE-352 | Cross-Site Request Forgery (CSRF) |
| 10 | CWE-434 | Unrestricted Upload of File with Dangerous Type |
| 11 | CWE-476 | NULL Pointer Dereference |
| 12 | CWE-502 | Deserialization of Untrusted Data |
| 13 | CWE-190 | Integer Overflow or Wraparound |
| 14 | CWE-287 | Improper Authentication |
| 15 | CWE-798 | Use of Hard-coded Credentials |
| 16 | CWE-862 | Missing Authorization |
| 17 | CWE-77 | Improper Neutralization of Special Elements used in a Command ('Command Injection') |
| 18 | CWE-306 | Missing Authentication for Critical Function |
| 19 | CWE-119 | Improper Restriction of Operations within the Bounds of a Memory Buffer |
| 20 | CWE-276 | Incorrect Default Permissions |
| 21 | CWE-918 | Server-Side Request Forgery (SSRF) |
| 22 | CWE-362 | Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition') |
| 23 | CWE-400 | Uncontrolled Resource Consumption |
| 24 | CWE-611 | Improper Restriction of XML External Entity Reference |
| 25 | CWE-94 | Improper Control of Generation of Code ('Code Injection') |
CodeSonar를 통한 CWE Top 25 검출
위 25개의 목록 중 Web Server/PHP/.NET/DB Server와 같은 C, C++ 언어의 약점이 아닌 항목을 제외한 상위 23개 항목에 대해 CodeSonar로 검출할 수 있습니다.
아래 예시와 같이 별도의 어려운 설정 없이 제공받은 Preset 파일을 선택하여 분석을 진행하시면 손쉽게 위반 항목을 검출하여 대응하실 수 있습니다.
CWE Top 25 Preset 사용 예시 화면
MDS인텔리전스는 매년 배포되는 CWE Top 25리 리스트에 맞추어 Preset 파일을 제공함으로써 유지 보수 고객들의 업무를 지원해 드리고 있습니다.
다음 시간에는, 최근 IT 시장에서는 보안 취약점이 화두가 되고 있으며 이에 따른 시장 트렌드에 맞춰 CodeSonar를 통한 OWASP TOP 10 대응 방안으로 다시 돌아오겠습니다.😊
이번 포스팅에 대해 더 자세히 알고 싶으신가요? 🤫
아래 이메일로 문의 남겨주세요! MDS인텔리전스는 명쾌한 솔루션을 제안해 드릴 수 있습니다!
출처 : https://cwe.mitre.org/top25/archive/2022/2022_cwe_top25.html
MDS 인텔리전스
소프트웨어 버그 및 취약점 검출 솔루션, CodeSonar
E. codesonar@mdsit.co.kr
