24년도 전자금융기반시설 분야별 개정 사항

금융보안원 24년도 전자금융기반시설 보안 취약점 평가기준 설명회 231214.pdf

1.81MB

2024년도 평가기준 개정결과

- 기존 681개 중 64개 항목을 제·개정하여 최종 678개 항목 확정

 

개정결과

웹·모바일·HTS 애플리케이션 (신규)

- 웹 : 신규 2개, 삭제 4개, 개선 8개

- 모바일 : 신규 2개, 삭제 3개, 개선 9개

- HTS : 신규 2개, 삭제 3개, 개선 4개

 

통신구간 암호화 적용 여부

서버 사이드 템플릿 인젝션(SSTI)

웹·모바일·HTS 애플리케이션 (삭제)

- 웹 : 신규 2개, 삭제 4개, 개선 8개

- 모바일 : 신규 2개, 삭제 3개, 개선 9개

- HTS : 신규 2개, 삭제 3개, 개선 4개

 

[전자금융] 사전에 정한 조회기간 이상으로 거래내역 조회가능 여부

[전자금융] 단말기 브라우저 영역 내에서의 중요정보 노출

[전자금융] 통신구간 암호화 적용 여부

데이터 평문전송

웹·모바일·HTS 애플리케이션 (개선)

- 웹 : 신규 2개, 삭제 4개, 개선 8개

- 모바일 : 신규 2개, 삭제 3개, 개선 9개

- HTS : 신규 2개, 삭제 3개, 개선 4개

 

메모리 내 중요정보 노출 여부

화면 내 중요정보 평문 노출 여부

단말기 브라우저 영역내에서의 중요정보 노출

취약한  HTTPS 프로토콜 이용

취약한 HTTPS 암호 알고리즘 이용

취약한 HTTPS 컴포넌트 사용

취약한 HTTPS 재협상 허용

불필요한 웹 메서드 허용

불필요한 파일 노출 여부