[전자금융] 비밀번호 변경 시 본인확인 절차 실시 여부

평가항목ID	WEB-FIN-009, MOB-FIN-009	위험도	5
통제구분	5.8.1 (전자금융) 거래 인증	평가항목	[전자금융] 비밀번호 변경 시 본인확인 절차 실시 여부
상세설명	o 전자금융거래 시 사용되는 비밀번호 변경 시 본인확인 절차의 존재 여부를 점검 * (평가 예시)  - 비밀번호 변경 시 본인확인 절차 존재 여부 점검 등

 

비밀번호 변경 시 본인확인 절차 실시 여부

일반적으로 비밀번호 변경 시 본인 확인 절차는 필요하지 않습니다. 그러나 비밀번호를 변경하는 개인에게 권한이 부여되고 비밀번호 변경 프로세스가 안전하고 신뢰할 수 있는지 확인하는 것이 중요합니다.

암호 변경의 보안 및 무결성을 보장하기 위해 회사 및 조직은 복잡한 암호 및 정기적인 암호 업데이트를 요구하는 것과 같은 강력한 암호 정책을 구현해야 합니다. 또한 이중 인증(2FA) 또는 다중 인증(MFA)을 사용하여 비밀번호를 변경하는 개인의 신원을 확인할 수 있습니다.

또한 암호 변경 프로세스는 무단 액세스 또는 수정의 위험을 최소화하도록 설계되어야 합니다. 예를 들어 암호 변경 양식은 전송 중인 데이터의 가로채기 또는 조작을 방지하기 위해 암호화되어야 합니다. 또한 암호 변경 프로세스를 모니터링하고 감사하여 무단 변경을 감지하고 방지해야 합니다.

요약하면, 암호를 변경할 때 신원 확인 절차가 필요하지 않을 수 있지만 암호 및 사용자 계정의 무결성과 보안을 보장하기 위해 강력한 암호 정책과 안전한 암호 변경 프로세스를 구현하는 것이 중요합니다. 또한 2FA 또는 MFA를 사용하여 추가 보안 계층을 추가하고 암호를 변경하는 개인의 신원을 확인할 수 있습니다.

 

해결방안

비밀번호 변경 시 휴대폰 SMS 인증, 공인인증서, 공동인증서 등을 통하여 인증 진행 후 비밀번호 변경을 실시합니다.