2025 Korean translation

2025/docs/ko/0x01_2025-About_OWASP.md

@@ -0,0 +1,35 @@
+# OWASP 소개
+
+오픈 월드와이드 애플리케이션 보안 프로젝트(Open Worldwide Application Security Project, OWASP)는 각 조직이 신뢰할 수 있는 애플리케이션과 API를 개발, 도입, 유지할 수 있도록 지원하는 오픈 커뮤니티이다.
+
+OWASP에서는 아래와 같은 무료로 공개된 자료를 제공하고 있다.
+
+- 애플리케이션 보안 도구 및 표준
+- 최첨단 연구
+- 표준 보안 통제 항목 및 라이브러리
+- 애플리케이션 보안 테스팅, 시큐어 코딩, 코드 보안 리뷰에 관한 서적
+- 프레젠테이션 및 [동영상](https://www.youtube.com/user/OWASPGLOBAL)
+- 다양한 주제의 보안 [치트 시트](https://cheatsheetseries.owasp.org/)
+- 전 세계 및 온라인에서 개최되는 [챕터 모임](https://owasp.org/chapters/)
+- [이벤트, 교육 및 컨퍼런스](https://owasp.org/events/)
+- [Google Groups](https://groups.google.com/g/owasp)
+
+자세한 내용은 [https://owasp.org](https://owasp.org)에서 확인할 수 있다.
+
+OWASP의 모든 도구, 문서, 동영상, 프레젠테이션을 애플리케이션 보안 개선에 관심이 있는 누구나 자유롭게 이용하고 공유할 수 있도록 공개하고 있다. 각 지역 챕터의 생성 및 참여도 자유롭게 가능하다.
+
+OWASP는 애플리케이션 보안을 사람, 프로세스, 기술의 문제로 접근해야 한다고 믿는다. 이러한 모든 영역을 개선하는 것이 애플리케이션 보안에 대한 가장 효과적인 접근 방식이기 때문이다.
+
+OWASP는 일반적인 조직과는 다른 성격을 지닌다. 상업적 이해관계에서 자유롭기 때문에 편향되지 않고 실용적이며 비용 효율적인 애플리케이션 보안 정보를 제공할 수 있다.
+
+OWASP는 특정 기술 기업과 제휴하지 않지만, 상용 보안 기술의 올바른 활용을 지지한다. OWASP는 다양한 유형의 자료를, 협력을 통해 투명하며 개방적인 방식으로 제작한다.
+
+OWASP 재단은 프로젝트의 지속적인 발전을 뒷받침하는 비영리 단체다. OWASP에는 이사회부터 지부 리더, 프로젝트 구성원까지 대부분이 자원봉사자로 참여하고 있으며, 기존의 틀을 깨는 보안 연구를 후원하고 필요한 인프라를 제공한다.
+
+저희와 함께해요!
+
+## 저작권 및 라이선스
+
+![License](../assets/license.png)
+
+Copyright © 2003-2025 The OWASP® Foundation, Inc. 이 문서는 Creative Commons Attribution-ShareAlike 4.0 라이선스에 따라 배포된다. 이 자료를 재사용하거나 배포할 경우, 반드시 해당 저작물의 라이선스 조건을 명확히 밝혀야 한다.

2025/docs/ko/0x02_2025-What_are_Application_Security_Risks.md

@@ -0,0 +1,100 @@
+# 애플리케이션 보안 위험이란 무엇인가?
+공격자는 애플리케이션을 통해 다양한 경로로 비즈니스 또는 조직에 피해를 입힐 수 있다. 각 경로는 잠재적 위험을 수반하며, 이를 조사해야 한다.
+
+![Calculation diagram](../ko/assets/2025-algorithm-diagram-ko.png)
+
+<table>
+  <tr>
+   <td>
+    <strong>위협 행위자</strong>
+   </td>
+   <td>
+     <strong>공격 벡터</strong>
+   </td>
+   <td>
+    <strong>악용 가능성</strong>
+   </td>
+   <td>
+     <strong>보안 통제 미비 가능성</strong>
+   </td>
+   <td>
+     <strong>기술적 영향</strong>
+   </td>
+   <td>
+     <strong>비즈니스 영향</strong>
+   </td>
+  </tr>
+  <tr>
+   <td>
+    <strong>환경에 따라, 상황에 따라 동적으로 변화</strong>
+   </td>
+   <td>
+    <strong>애플리케이션 노출 수준에 따라(환경 기준)</strong>
+   </td>
+   <td>
+    <strong>평균 가중 익스플로잇 점수</strong>
+   </td>
+   <td>
+    <strong>통제 누락을 평균 발생률로 산정하고 커버리지로 가중</strong>
+   </td>
+   <td>
+    <strong>평균 가중 영향 점수</strong>
+   </td>
+   <td>
+    <strong>비즈니스 기준</strong>
+   </td>
+  </tr>
+</table>
+
+
+본 위험 등급은 악용 가능성, 보안 통제가 누락될 가능성의 평균, 그리고 기술적 영향을 공통 평가 요소로 반영하여 산정되었다.
+
+조직은 각기 고유하며, 해당 조직을 대상으로 하는 위협 행위자, 그들의 목표, 그리고 침해 발생 시 영향도 또한 고유하다. 공익 단체가 대외 정보 제공을 위해 콘텐츠 관리 시스템(Content Management System, CMS)을 사용하는 경우와, 의료 시스템에서 동일한 CMS를 민감한 의료 정보에 사용하는 경우를 비교하면, 같은 소프트웨어라 하더라도 위협 행위자와 비즈니스 영향은 크게 달라질 수 있다. 애플리케이션의 노출 수준, 상황별 위협 행위자(비즈니스 및 지역에 따른 표적 공격과 비표적 공격), 그리고 개별 비즈니스 영향을 바탕으로 조직의 위험을 이해하는 것이 중요하다.
+
+
+## 카테고리를 선택하고 순위를 매기기 위해 데이터가 사용되는 방식
+
+2017년에는 발생률을 기준으로 가능성을 산정하여 카테고리를 선정한 뒤, 수십 년의 경험을 바탕으로 한 팀 논의를 통해 악용 가능성, 탐지 가능성, 기술적 영향을 기준으로 순위를 매겼다. 2021년에는 미국 정부가 운영하는 취약점 데이터베이스(National Vulnerability Database, NVD)의 CVSSv2 및 CVSSv3 점수에서 악용 가능성과 (기술적) 영향을 나타내는 데이터를 활용하였다. 2025년에는 2021년에 수립한 동일한 방법론을 계속 적용하였다.
+
+우리는 OWASP Dependency-Check를 다운로드하여 관련 CWE(Common Weakness Enumeration)별로 그룹화된 CVSS 익스플로잇 점수와 영향 점수를 추출하였다. 모든 CVE에는 CVSSv2 점수가 존재하지만, CVSSv2에는 결함이 있으며 CVSSv3에서 이를 보완하였으나 상당한 조사와 노력이 필요했다. 또한 일정 시점 이후에는 모든 CVE에 CVSSv3 점수도 함께 부여된다. 더불어 CVSSv2와 CVSSv3 사이에는 점수 범위와 산정 공식이 업데이트되었다.
+
+CVSSv2에서는 익스플로잇과 (기술적) 영향 점수 모두 최대 10.0까지 가능했으나, 산정 공식에 의해 익스플로잇 점수는 60%, 영향 점수는 40%로 낮춰졌다. CVSSv3에서는 이론상 최대값이 익스플로잇 점수 6.0, 영향 점수 4.0으로 제한되었다. 이러한 가중치를 고려하면, CVSSv3에서 영향 점수는 더 높아져 평균적으로 거의 1.5점 상승했고, 2021 Top 10 분석을 수행했을 때 악용 가능성은 평균적으로 거의 0.5점 하락한 것으로 나타났다.
+
+OWASP Dependency-Check에서 추출한 데이터에 따르면, NVD에는 CWE에 매핑된 CVE 레코드가 약 17만 5천 건(2021년의 12만 5천 건에서 증가) 존재한다. 또한 CVE에 매핑된 고유 CWE는 643개(2021년의 241개에서 증가)이다. 추출된 약 22만 건의 CVE 중 16만 건에는 CVSS v2 점수가, 15만 6천 건에는 CVSS v3 점수가, 6천 건에는 CVSS v4 점수가 있었다. 다수의 CVE가 여러 버전의 점수를 동시에 보유하므로, 점수 건수 합계는 22만 건을 초과한다.
+
+Top 10 2025에서는 다음과 같은 방식으로 익스플로잇과 영향의 평균 점수를 산정하였다. CVSS 점수가 있는 모든 CVE를 CWE별로 그룹화한 뒤, 익스플로잇 점수와 영향 점수 모두에 대해 CVSSv3 점수를 보유한 비율과 나머지 CVSSv2 점수 보유 비율을 가중치로 적용하여 전체 평균을 산출하였다. 이렇게 산출한 평균을 데이터셋의 CWE에 매핑하여, 위험 방정식의 나머지 절반에 해당하는 익스플로잇 및 기술적 영향 점수로 사용하였다.
+
+CVSS v4.0을 사용하지 않은 이유는 점수 산정 알고리즘이 근본적으로 변경되어, CVSSv2와 CVSSv3처럼 *익스플로잇* 또는 *영향* 점수를 쉽게 도출할 수 없기 때문이다. 향후 Top 10 버전에서는 CVSS v4.0 점수를 활용할 수 있는 방법을 모색할 예정이지만, 2025년판에서는 이를 적시에 반영할 방안을 도출하지 못했다.
+
+발생률은 일정 기간 동안 조직이 테스트한 애플리케이션 모집단에서, 각 CWE에 취약한 애플리케이션의 비율로 산정하였다. 다시 말해, 우리는 빈도, 즉 한 애플리케이션에서 문제가 몇 번 발견되는지는 사용하지 않는다. 관심 대상은 애플리케이션 모집단 중 각 CWE가 발견된 애플리케이션의 비율이다.
+
+커버리지는 특정 CWE에 대해 모든 조직이 테스트한 애플리케이션의 비율로 산정한다. 커버리지가 높을수록 표본 크기가 모집단을 더 잘 대표하므로, 산정된 발생률이 정확하다는 보증 수준이 더 강해진다.
+
+이번 버전에서 사용한 공식은 2021년과 유사하되, 일부 가중치가 변경되었다.
+(최대 발생률 % * 1000) + (최대 커버리지 % * 100) + (평균 익스플로잇 점수 * 10) + (평균 영향 점수 * 20) + (발생 건수 합 / 10000) = 위험 점수
+
+산정된 점수는 불충분한 접근 제어 카테고리에서 621.60으로 가장 높았고, 메모리 관리 실패 카테고리에서 271.08로 가장 낮았다.
+
+이는 완벽한 체계는 아니지만, 위험 카테고리의 순위를 매기는 데 유용하다.
+
+추가로 커지고 있는 과제 중 하나는 "애플리케이션"의 정의이다. 업계가 마이크로서비스와 같이 전통적인 애플리케이션보다 더 작은 구성 요소로 이루어진 아키텍처로 전환함에 따라, 산정이 더 어려워지고 있다. 예를 들어 조직이 코드 리포지토리를 테스트하는 경우, 무엇을 애플리케이션으로 간주해야 하는가? CVSSv4의 확산과 마찬가지로, Top 10의 다음 판에서는 끊임없이 변화하는 산업 환경을 반영하기 위해 분석과 점수 산정을 조정해야 할 수 있다.
+
+## 데이터 요소
+
+Top 10 각 카테고리에는 다음과 같은 데이터 요소가 제시되며, 의미는 다음과 같다.
+
+**해당 CWE 개수:** Top 10 팀이 해당 카테고리에 매핑한 CWE의 개수.
+
+**발생률:** 발생률은 해당 연도에 그 조직이 테스트한 모집단에서, 해당 CWE에 취약한 애플리케이션의 비율이다.
+
+**가중 익스플로잇 점수:** CWE에 매핑된 CVE에 부여된 CVSSv2 및 CVSSv3 점수의 익스플로잇 하위 점수를 정규화하여 10점 척도에 맞춘 값이다.
+
+**가중 영향 점수:** CWE에 매핑된 CVE에 부여된 CVSSv2 및 CVSSv3 점수의 영향 하위 점수를 정규화하여 10점 척도에 맞춘 값이다.
+
+**테스트 커버리지:** 특정 CWE에 대해 모든 조직이 테스트한 애플리케이션의 비율이다.
+
+**총 발생 건수:** 카테고리에 매핑된 CWE가 발견된 애플리케이션의 총 개수.
+
+**총 CVE 건수:** 해당 카테고리에 매핑된 CWE에 매핑된 NVD DB 내 CVE의 총 개수.
+
+**공식:** (최대 발생률 % * 1000) + (최대 커버리지 % * 100) + (평균 익스플로잇 점수 * 10) + (평균 영향 점수 * 20) + (발생 건수 합 / 10000) = 위험 점수