마이터, 2025년 ‘가장 위험한 소프트웨어 취약점 Top 25’ 공개…XSS 1위 유지 외 1건

요약	- MITRE, 2025년 CWE Top 25 가장 위험한 소프트웨어 취약점 목록 공개 - MS, 2026년 AI 혁신을 이끌 7대 트렌드 공개
내용	-  MITRE, 2025년 ‘CWE Top 25 가장 위험한 소프트웨어 취약점’ 목록 공개 >  24.06.01부터 25.06.01까지 공개된 3만9,080건의 CVE 기록을 분석 >  공격자가 실제로 가장 자주 악용하는 취약점 유형을 정리 >  개별 CVE 목록이 아니라, 코드·구현·설계 단계에서 반복되는 취약점 유형(CWE)을 빈도와 영향도 관점에서 점수화해 순위 지정 ‘취약점 목록’이 아니라 ‘취약점의 원인 유형’ 순위  - 1위는 XSS(크로스 사이트 스크립팅, CWE-  79) > SQL 인젝션(CWE-  89) > CSRF(크로스 사이트 요청 위조, CWE-  352) > 권한 부여 누락(Missing Authorization, CWE-  862) > 경계 밖 쓰기(Out-  of-  bounds Write, CWE-  787)가 상위권 - 상위 10위권 > 경로 탐색(Path Traversal, CWE-  22) > 유즈 애프터 프리(Use After Free, CWE-  416), >  경계 밖 읽기(Out-  of-  bounds Read, CWE-  125) > OS 명령 인젝션(OS Command Injection, CWE-  78) > 코드 인젝션(Code Injection, CWE-  94) 등 XSS 1위 유지…인젝션과 권한관리 결함이 핵심  - 인젝션 계열 취약점은 침해사고의 “실전 진입로”로 다시 확인 > 표면적으로는 오래 알려진 취약점 유형 > 제품과 환경이 바뀌어도 입력 검증과 실행 경계가 허술하면 같은 방식의 공격이 반복된다는 의미 ‘권한 부여 누락’ 급상승…순위 변동이 말하는 것  - 권한 부여 누락(CWE-  862)은 전년 9위에서 4위로 크게 상승 - 널 포인터 역참조(Null Pointer Dereference, CWE-  476)도 순위 상승 - 중요 기능에서의 인증 누락(Missing Authentication for Critical Function, CWE-  306)’ 순위 상승 > 인증·인가·접근통제 같은 핵심 통제 지점의 결함이 더 높은 위험 요소로 부상했음을 보여줌 - 새로 Top 25에 포함된 취약점 유형 > 클래식/스택 기반/힙 기반 버퍼 오버플로(CWE-  120/121/122) > 부적절한 접근통제(Improper Access Control, CWE-  284) > 사용자 제어 키를 통한 인가 우회(CWE-  639) > 제한·스로틀링 없는 자원 할당(CWE-  770)  등 - 이번 목록은 ‘설계 단계 보안(Secure by Design)’ 흐름과도 일치 > CISA는 개발·제품 조직이 2025 Top 25를 점검해 우선순위 취약점 유형을 줄이고, 보안팀은 이를 애플리케이션 보안 테스트와 취약점 관리 프로세스에 통합하라고 권고 > 패치가 나올 때마다 따라가는 대응만으로는 한계가 있고, 반복되는 취약점 유형 자체를 설계·개발 단계에서 줄여야 한다는 문제의식에 기반 - 전문가 커뮤니티 > CWE Top 25는 개발자가 지금 당장 줄여야 할 취약점 유형의 교과서 > OWASP Top 10 : 주로 웹 애플리케이션 관점에서 위험 카테고리를 정리 > MITRE Top 25 : 취약점의 뿌리(원인) 유형을 더 직접적으로 제시해 개발·보안 조직이 공통 통제 정책을 설계하는 데 도움 > 서로 다른 층위를 비추는 참고 지표로 함께 쓰일 때 효과가 큼  “표준화된 ‘보안 게이트’ 없으면 반복된다”  - 전문가 조언과 대안, 그리고 주의할 점 ① 공통 보안 게이트 표준화 - 상위권이 입력 처리(인젝션·XSS·경로·명령)와 권한관리(인증·인가·접근통제)에 집중 > 공통 보안 게이트를 표준화해 “실수로 빠지는 지점”을 구조적으로 줄여야 한다는 의견 > 인가 체크를 중앙화하고, 템플릿·쿼리·명령 실행 경로에서 안전한 API 사용을 강제하며, 업로드·리소스 사용에는 기본값으로 제한과 스로틀링을 두는 방식 ② 하드닝 강화와 함께 메모리 안전 언어 도입 - 메모리 안전성 취약점(경계 밖 읽기/쓰기, 유즈 애프터 프리, 버퍼 오버플로)은 단순 패치로 끝나지 않고 설계·언어·빌드 옵션까지 영향 받음 > 하드닝 강화와 함께 메모리 안전 언어 도입 같은 구조적 처방을 병행하라는 조언이 뒤따른다.  ③ 위협 모델링과 테스트를 설계 - Top 25를 단순 체크리스트로만 소비하면 오히려 위험하다는 지적 > 인터넷에 노출된 API, 관리자 기능, 인증 흐름, 서드파티 구성요소 등 실제 공격면을 기준으로 위협 모델링과 테스트를 설계 - 취약점 생태계의 공용 인프라로서 CVE·CWE 프로그램의 중요성도 다시 부각 > 25.04 CVE/CWE 운영 자금이 만료될 수 있다는 우려에 미 정부가 예산을 연장 지원해 연속성 확보 > 전 세계 보안 스캐너, 패치 관리, 사고 대응이 표준화된 식별 체계에 얼마나 의존하는지를 보여주는 대목 ======================================================================================================== - MS, 2026년 AI 혁신을 이끌 7대 트렌드 공개 > 지난 몇 년간의 실험 단계를 지나, AI는 인간과 협업하며 인간의 전문성을 확장 > AI 에이전트의 고도화에 따라 보안과 인프라의 중요성도 더욱 커짐 ① 사람의 역량을 확장시키는 AI  - AI는 인간의 능력을 단순히 보조하는 수준을 넘어 보다 강력한 협력자로 자리 잡을 전망 > AI는 질문에 답하고 문제를 추론하던 단계를 지나, 사람과 함께 일하며 성과를 확대하는 방향으로 진화 > 특히 AI 에이전트는 데이터 분석, 콘텐츠 생성, 개인화 작업 등을 담당하며 디지털 동료의 역할을 수행 > 인간이 전략이나 창의성이 필요한 핵심 역할에 집중할 수 있도록 돕고, 조직의 생산성 향상으로 이어질 것으로 기대 ② 보안이 내장된 AI 에이전트의 확산  - AI 에이전트의 확산과 함께 보안이 핵심 과제로 떠오르고 있음 > AI 에이전트가 조직 내에서 디지털 팀원처럼 기능하며, 일상 업무와 의사결정을 돕는 데 관여할 것으로 예상 > 보안에서부터 각 에이전트의 신뢰성을 확보하는 것이 그 어느 때보다 중요해지고 있음 > 각 에이전트에는 명확한 신원을 부여하고, 접근 권한을 제한하며, 에이전트가 생성한 데이터를 관리하고, 에이전트를 외부 위협으로부터 보호하는 체계적인 보안 설계가 요구 > 보안은 더 이상 마지막에 추가하는 옵션이 아니라, 처음부터 환경 전반에서 상시적, 자율적, 내장형으로 작동할 것으로 예고 > 또한, 공격자들이 AI를 악용하는 방식이 정교해짐에 따라, 조직은 보안 에이전트를 통해 위협을 조기에 탐지하고 신속히 대응하는 보안 체계를 구축 ③ 의료 격차 해소에 기여하는 AI  - AI가 의료 격차 해소의 열쇠로 부상 > 25년, 마이크로소프트 AI의 진단 오케스트레이터(MAI-  DxO)는 숙련된 의사의 평균 진단 정확도(20%)를 크게 상회하는 85.5%의 정확도를 보임 > 또한 코파일럿(Copilot)과 빙(Bing)은 매일 5,000만 건 이상의 건강 관련 문의를 처리 ④ 과학 연구의 중요한 파트너로 부상하는 AI  - AI가 과학 연구 과정에 점점 더 중요한 역할을 맡고 있음 > AI는 이미 기후 모델링, 분자동역학, 신소재 설계 등의 분야에서 혁신을 앞당기고 있음 > 26년에는 물리·화학·생물학 연구에서 논문 요약이나 보고서 작성을 넘어, 실제 발견 과정에 적극 참여할 것으로 전망 ⑤ 더 스마트하고 효율적인 AI 인프라의 진화 - AI 인프라가 단순한 확장을 넘어, 더 스마트하고 효율적인 방향으로 재편 > 26년에는 분산된 컴퓨팅 자원을 보다 조밀하게 배치하고, 유연하게 운용하는 차세대 연결형 인프라, 이른바 AI 슈퍼팩토리(superfactories)가 등장할 전망 ⑥ 코드의 문맥을 이해하는 AI  - AI가 단순한 코드 해석을 넘어 코드 간 관계와 과거 이력까지 이해하는 수준으로 진화 > ‘리포지토리 인텔리전스(Repository Intelligence)’라 불리는 기술은 코드의 변경 내역과 이유 등 코드 리포지토리의 패턴을 분석해 더 스마트한 제안과 빠른 오류 탐지, 수정 자동화 가능 ⑦ 양자 컴퓨팅, 실용화를 향한 진전  - 양자 컴퓨팅이 기존 컴퓨팅의 한계를 넘어서는 실용화 > 특히 AI와 슈퍼컴퓨터, 양자를 결합한 ‘하이브리드 컴퓨팅’이 부상하면서, 각 기술의 강점을 통합한 새로운 연산 방식이 주목
기타	-

 

보안뉴스

마이터, 2025년 ‘가장 위험한 소프트웨어 취약점 Top 25’ 공개…XSS 1위 유지 - 데일리시큐

마이크로소프트, 2026년 7대 AI 트렌드 공개 - 데일리시큐