OWASP Top 10 for LLM Applications 2025

OWASP Top 10은 2023년 말 발표된 버전 1.0 이후, AI 에이전트의 확산과 RAG(검색 증강 생성) 기술의 보편화에 따라 2025년 실무적인 위협 변화를 반영하여 순위와 항목이 조정되었습니다. 가장 큰 특징은 민감 정보 유출의 위험성 증대와 에이전트/벡터 데이터베이스 관련 보안의 강화입니다.

---

🛡️ OWASP Top 10 for LLM 2025 주요 목록

순위	항목명 (국문/영문)	주요 내용 및 특징
LLM01	프롬프트 인젝션 (Prompt Injection)	직접적(User) 또는 간접적(Web/Doc) 입력을 통해 모델의 지침을 무력화하고 악의적 행동 유도
LLM02	민감 정보 유출 (Sensitive Info Disclosure)	출력물에 PII(개인정보), 기업 기밀, 시스템 프롬프트 등이 포함되어 유출되는 현상 (순위 급상승)
LLM03	공급망 취약점 (Supply Chain)	신뢰할 수 없는 써드파티 모델, 데이터셋, 플러그인 사용으로 인한 무결성 훼손
LLM04	데이터 및 모델 포이즈닝 (Data & Model Poisoning)	학습 데이터나 미세조정(Fine-tuning) 데이터에 악의적 백도어를 삽입하여 모델 성능 왜곡
LLM05	부적절한 출력 처리 (Improper Output Handling)	LLM 출력을 검증 없이 하위 시스템(쉘, 브라우저)에 전달하여 XSS나 RCE 유발
LLM06	과도한 권한 부여 (Excessive Agency)	AI 에이전트에게 불필요하게 넓은 기능(파일 삭제, 이메일 발송 등)이나 권한을 부여해 발생하는 사고
LLM07	시스템 프롬프트 유출 (System Prompt Leakage)	(신규/강조) 모델의 페르소나와 제약사항이 담긴 핵심 '시스템 프롬프트'가 외부로 드러나는 문제
LLM08	벡터 및 임베딩 취약점 (Vector & Embedding Weaknesses)	(신규) RAG 기반 시스템에서 벡터 DB 검색 과정의 취약점이나 임베딩 데이터 오염 공격
LLM09	잘못된 정보 및 과의존 (Misinformation & Overreliance)	모델의 할루시네이션(환각)이나 편향된 정보를 검증 없이 수용하여 발생하는 의사결정 오류
LLM10	무제한적 자원 소비 (Unbounded Consumption)	DoS 공격의 일종으로, 과도한 토큰 사용을 유도하여 비용 폭증이나 서비스 마비를 야기

---

🔍 2025년 버전의 핵심 변화 포인트

1. 민감 정보 유출(LLM02)의 순위 상승

과거에는 프롬프트 인젝션에만 집중했다면, 이제는 기업용 LLM 도입이 늘어나면서 기업 내부 기밀이나 개인정보(PII)가 답변에 섞여 나오는 문제가 가장 치명적인 위협으로 간주됩니다.

2. AI 에이전트와 RAG 보안의 대두 (LLM06, LLM08)

단순 채팅을 넘어 '스스로 행동하는 에이전트'가 많아짐에 따라, 에이전트가 가진 **권한 관리(Agency)**와 데이터를 찾아오는 통로인 **벡터 데이터베이스(Vector DB)**에 대한 보안이 새로운 핵심 항목으로 들어왔습니다.

3. 시스템 프롬프트 보호 (LLM07)

서비스의 고유한 로직이 담긴 시스템 프롬프트 자체가 자산화되면서, 이를 탈취하려는 공격에 대한 방어가 별도 항목 수준으로 중요해졌습니다.

---

💡 대응을 위한 체크리스트 (요건별)

1. 입력 단계: 모든 사용자 입력과 외부 데이터(RAG용 웹사이트 등)를 잠재적 위협으로 간주하고 필터링합니다.
2. 출력 단계: LLM이 내뱉는 답변이 웹브라우저에서 실행되거나(XSS) 데이터베이스 쿼리로 변하지 않도록 샌드박스 처리를 합니다.
3. 권한 단계: AI 에이전트에게는 '최소 권한 원칙(Least Privilege)'을 적용하여 꼭 필요한 작업만 수행하게 제한합니다.
4. 모니터링: 예상치 못한 토큰 소모나 민감 키워드 포함 여부를 실시간으로 로깅하고 차단합니다.