OWASP LLM Top 10

OWASP LLM Top 10

OWASP에서 발표한 LLM 애플리케이션 10대 보안 위협 목록 (136회 관련)

특징: LLM 특화 보안 위협, 기존 웹 보안과 차별화, AI 생태계 포괄

10대 위협

• •LLM01 Prompt Injection: 악의적 프롬프트로 동작 조작 → 입력 검증, 권한 최소화
• •LLM02 Insecure Output: 출력 미검증으로 XSS/RCE → 출력 검증, 샌드박싱
• •LLM03 Data Poisoning: 학습 데이터 오염 → 데이터 검증, 출처 추적
• •LLM04 Model DoS: 리소스 집약적 요청 → Rate Limiting, 입력 제한
• •LLM05 Supply Chain: 취약 서드파티 → SBOM, 무결성 검증
• •LLM06 Info Disclosure: 민감정보 응답 포함 → 데이터 정제, DLP
• •LLM07 Insecure Plugin: 플러그인 권한 과다 → 최소 권한, 입력 검증
• •LLM08 Excessive Agency: 과도한 자율권 → HITL, 기능 제한
• •LLM09 Overreliance: 환각 기반 오류 → 교차 검증, RAG
• •LLM10 Model Theft: 모델 탈취 → 접근 제어, 워터마킹

비교: OWASP Top 10(웹, HTTP/입력필드) vs LLM Top 10(프롬프트/학습데이터/플러그인, 환각/자율권 고유)

적용사례: LLM 챗봇 보안 설계, AI 보안 감사, 기업 AI 정책

연관: OWASP, Prompt Injection, AI 거버넌스, AI Red Teaming