[전자금융] 거래 인증수단 검증 오류

평가항목ID	WEB-FIN-001, MOB-FIN-001	위험도	5
통제구분	5.8.1 (전자금융) 거래 인증	평가항목	[전자금융] 거래 인증수단 검증 오류
상세설명	o 전자금융거래에 적용된 거래 인증수단 검증의 적절성 여부를 점검 * (평가 예시)   - 잘못된 인증정보(비밀번호, OTP, 보안카드 번호 등) 입력 후 정상 거래 가능 여부 점검  - 폐기된 인증수단(인증서, 보안카드, OTP 등)을 통해 인증 시도 후 정상 거래 가능 여부 점검  - SMS, ARS, 계좌 등의 인증수단 이용 시, 인증 유효시간 제한 여부 점검  - 인증 매체를 통해 전달받은 인증정보를 금융회사에서 정한 시간 이후에 인증 요청 시 정상 처리 가능 여부를 점검

 

거래 인증수단 검증 오류

거래 확인 방법은 거래가 처리되기 전에 거래의 진위와 유효성을 확인하는 데 사용되는 프로세스입니다. 단, 확인 과정에서 오류가 발생할 수 있습니다.

 

발생할 수 있는 일반적인 오류 중 하나는 확인 오류입니다. 확인 프로세스에서 거래의 진위 여부를 확인하지 못하는 경우에 이러한 상황이 발생할 수 있습니다. 예를 들어 신용 카드 거래가 사기 가능성이 있는 것으로 표시되면 확인 프로세스가 실패하고 거래가 거부될 수 있습니다.

확인 오류가 발생할 수 있는 몇 가지 이유가 있습니다. 하나는 확인 시스템이 오래되었거나 비효율적일 수 있으며 새로운 형태의 사기 또는 승인되지 않은 거래를 감지하지 못할 수 있다는 것입니다. 또 다른 이유는 거래 자체가 비정상적이거나 사용자의 일반적인 지출 패턴을 벗어날 수 있어 확인 프로세스에서 오탐을 유발할 수 있기 때문입니다.

인증 오류를 방지하려면 광범위한 사기 및 무단 거래를 감지할 수 있는 강력한 최신 인증 시스템을 사용하는 것이 중요합니다. 또한 사용자는 경계를 늦추지 말고 의심스러운 활동이 있으면 가능한 한 빨리 금융 기관이나 서비스 제공업체에 보고해야 합니다.

확인 오류가 발생하는 경우 사용자는 문제를 해결하기 위해 금융 기관 또는 서비스 제공자에게 문의해야 합니다. 경우에 따라 거래를 수동으로 확인할 수 있거나 사용자가 자신의 신원을 확인하고 거래를 승인하기 위해 추가 정보를 제공해야 할 수 있습니다. 다른 경우에는 거래가 거부되거나 취소될 수 있으며 사용자는 다시 시도하거나 다른 결제 방법을 사용해야 할 수 있습니다.

 

지식 기반 인증 vs 소유 기반 인증

인증은 시스템 또는 리소스에 대한 액세스 권한을 부여하기 위해 사용자의 신원을 확인하는 프로세스입니다. 인증 방식에는 여러 가지가 있으며 가장 일반적으로 사용되는 두 가지 방식은 지식 기반 인증과 소유 기반 인증입니다.

지식 기반 인증은 특정 정보에 대한 사용자의 지식을 기반으로 신원을 확인하는 인증 유형입니다. 이 정보는 사용자의 생년월일이나 주민등록번호와 같은 개인적인 정보일 수도 있고 비밀번호나 보안 질문과 같은 계정과 관련된 정보일 수도 있습니다. 지식 기반 인증은 이메일 및 뱅킹과 같은 온라인 서비스에서 사용자의 신원을 확인하는 방법으로 널리 사용됩니다.
지식 기반 인증의 주요 장점 중 하나는 설치 및 사용이 상대적으로 쉽다는 것입니다. 그러나 지식 기반 인증에는 몇 가지 단점이 있습니다. 하나는 인증에 사용되는 정보가 사용자의 가족이나 직장 동료 등 다른 사람이 쉽게 접근할 수 있다는 점입니다. 또한 지식 기반 인증는 공격자가 사용자를 속여 개인 정보를 공개하도록 시도하는 피싱 공격 또는 사회 공학에 취약할 수 있습니다.

반면 소유 기반 인증은 물리적 토큰이나 모바일 장치와 같이 사용자가 소유한 것에 의존합니다. 소유 기반 인증은 일반적으로 사용자가 시스템이나 리소스에 액세스 하기 위해 두 가지 인증 형식을 제공해야 하는 이중 요소 인증에 사용됩니다.
소유 기반 인증의 주요 장점 중 하나는 지식 기반 인증보다 더 안전하다는 것입니다. 물리적인 토큰이나 장치를 소유한 사용자는 개인 정보보다 위조하거나 도용하기 어렵기 때문입니다. 또한 소유 기반 인증은 지식 기반 인증가 불가능할 수 있는 오프라인 설정에서 사용할 수 있습니다.
그러나 소유 기반 인증에는 고유한 단점이 있습니다. 하나는 물리적 토큰이나 장치를 사용해야 하기 때문에 설정 및 유지 관리가 더 어렵고 비용이 많이 들 수 있다는 것입니다. 다른 하나는 사용자가 토큰이나 장치를 분실하거나 손상시켜 불편을 초래하고 시스템이나 리소스에 대한 액세스를 방해할 수 있다는 것입니다.

결론적으로 지식 기반 인증과 소유 기반 인증은 모두 장단점이 있습니다. 사용할 방법의 선택은 원하는 보안 및 편의성 수준뿐만 아니라 액세스 되는 시스템 또는 리소스의 특정 요구 사항 및 요구 사항에 따라 다릅니다.

 

해결방안

인증 요청 시 서버에서 인증정보를 정확하게 검증하는 프로세스를 구성하고, 인증 요청 만료 시간을 체크하여 인증 만료 후에는 정상처리 되지 않도록 합니다.