[전자금융] 이용자 입력정보 보호

평가항목ID	WEB-FIN-017, MOB-FIN-017	위험도	4
통제구분	5.8.3 (전자금융) 단말 보안	평가항목	[전자금융] 이용자 입력정보 보호
상세설명	o 이용자 거래입력 수단(手段)을 보호하기 위한 금융회사 대응수단 및 적용범위 등을 점검 * (평가 예시)  - 이용자 거래정보 입력보호 범위가 금융회사가 정한 범위와 달리 적용되어 있거나 또는 일관성 확인 - 이용자 거래정보 입력보호에 대응하기 위한 절차 또는 방법 존재 여부 점검 등

 

이용자 입력정보 보호

민감한 데이터에 대한 무단 액세스를 방지하려면 사용자 입력 정보를 보호하는 것이 중요합니다. 다음은 사용자 입력 정보를 보호하기 위한 몇 가지 방법니다.

1. 암호화 사용: 암호화를 사용하여 암호 및 신용 카드 정보와 같은 민감한 사용자 입력 정보를 보호합니다. HTTPS 프로토콜을 사용하여 전송 중인 데이터를 암호화하고 SSL 인증서를 사용하여 웹사이트의 진위 여부를 확인합니다.

2. 액세스 제어 구현: 액세스 제어를 구현하여 권한이 있는 사람만 사용자 입력 정보에 대한 액세스를 제한합니다. 이중 인증을 사용하여 추가 보안 계층을 추가하십시오.

3. 안전한 데이터 저장: 방화벽 및 액세스 제어로 보호되는 데이터베이스와 같은 안전한 위치에 사용자 입력 정보를 저장합니다. 미사용 데이터에 강력한 암호화를 사용하십시오.

4. 정기적인 소프트웨어 및 시스템 업데이트: 소프트웨어 및 시스템을 정기적으로 업데이트하여 공격자가 악용할 수 있는 취약성을 방지합니다. 침입 탐지 및 방지 시스템을 사용하여 공격을 탐지하고 방지합니다.

5. 사용자 입력 정보 모니터링 및 감사: 무단 액세스 또는 의심스러운 활동을 감지하기 위해 사용자 입력 정보를 모니터링 및 감사합니다. 로그 모니터링 및 분석 도구를 사용하여 잠재적인 위협을 식별합니다.

다음 방법을 따르면 사용자 입력 정보를 보호하고 중요한 데이터에 대한 무단 액세스를 방지할 수 있습니다. 사용자 입력 정보의 보안 및 개인 정보 보호를 보장하기 위해 기술 및 조직 제어를 모두 포함하는 포괄적인 보안 전략을 구현하는 것이 중요합니다.

 

해결방안

일반적으로 E2E 암호화가 적용될 필요가 있는 입력정보의 예시는 다음과 같습니다.

- 금융이체 및 카드결제 시 결제 비밀번호
- 거래인증수단 매체의 인증번호(OTP/SMS인증 등)
- 공인인증서 비밀번호
- 주민등록번호 뒷자리