목 차
| 평가항목ID | WEB-FIN-025 | 위험도 | 5 |
| 통제구분 | 5.8.3 (전자금융) 단말 보안 | 평가항목 | [전자금융] 단말기 브라우저 영역 내에서의 중요정보 노출 |
| 상세설명 | o 단말기 브라우저 영역 내에서의 중요정보 기밀성 확보 여부를 점검 * (평가 예시) - 개발자 도구 등을 통해 이용자 구간 내 중요정보 평문 노출 유무 점검 등 * 웹 영역 : 웹을 구성하는 HTML, Javascript, DOM 등 웹을 표현하기 위한 영역 * 중요정보 : 고유식별정보(주민등록번호), 비밀번호(로그인 비밀번호, 계좌 비밀번호, 공인인증서 비밀번호 등), 신용정보(보안카드번호, OTP번호, 카드번호 등) 등 |
||
단말기 브라우저 영역 내에서의 중요정보 노출
중요정보가 단말기 브라우저 영역 내에 노출될 경우, 개인 정보 누출로 인한 피해가 발생할 수 있으므로 브라우저 영역 내에 불필요한 정보가 노출되지 않도록 해야 합니다.
해결방안
1. 서버에서 중요정보 처리
마스킹 처리 기준을 클라이언트(자바스크립트)로 처리하는 경우, 자바스크립트 조작, 개발자 도구, Web Proxy 등을 통해 중요정보를 확인할 수 있으므로 마스킹은 서버에서 적용 후 전송해야 합니다.
2. 마스킹 기준
- ISMS-P 인증기준 안내서 (2022.04.)
- 개발자 대상 개인정보 보호조치 적용 안내서 (2020.12.)
- 개인정보의 기술적·관리적 보호조치 기준 해설서 (2020.12.)
- 시스템 개발·운영자를 위한 개인정보보호 가이드라인 (2015.03.)
반응형
'전자금융기반시설 (웹, 모바일)' 카테고리의 다른 글
| [전자금융] 접근매체 발급 시 실명확인 수행 여부 (0) | 2023.05.27 |
|---|---|
| [전자금융] 통신구간 암호화 적용 여부 (0) | 2023.05.26 |
| [전자금융] 디버깅 탐지기능 적용 여부 (0) | 2023.05.15 |
| [전자금융] 소스코드 난독화 적용 여부 (2) | 2023.05.15 |
| [전자금융] 프로그램 무결성 검증 (0) | 2023.05.15 |