평가항목ID WEB-SER-001, MOB-SER-001 위험도 5 통제구분 5.8.4 (일반공통) 서비스 보호 평가항목 SQL Injection 상세설명 o 사용자가 간섭 가능한 매개변수(URL 파라미터, XML 등)에 의해 SQL 질의문이 완성되는 점을 이용하여, 해당 매개변수 변조를 통해 비정상 질의 가능 여부를 점검 * (평가 예시) - URL 파라미터 또는 XML 등 입력하는 부분에 SQL 구문 입력 후 서버에서 응답한 값에 대한 위험성 점검 - SQL문으로 해석될 수 있는 값(글번호, 검색 내용 등)을 입력하여 데이터베이스내에 저장된 정보 열람 및 시스템 명령 실행가능 여부 점검 - 조작된 XPath 쿼리를 보내어 비정상적인 질의 가능 여부 점검 등 SQL Injection 데이터베이스(DB)..

평가항목ID WEB-FIN-027, MOB-FIN-027 위험도 5 통제구분 5.8.1 (전자금융) 거래 인증 평가항목 [전자금융] 접근매체 발급 시 실명확인 수행 여부 상세설명 o 비인가자에 의한 접근매체 무단 발급에 대응하기 위해 접근매체 발급 시 실명확인 수행 여부를 점검 * (평가 예시) - 접근매체 발급 시 실명확인 수행 여부를 점검 ※ 실명확인 수행 방법 - (필수) ① 신분증 사본 제출, ② 영상통화, ③ 접근매체 전달시 확인, ④ 기존계좌 활용, ⑤ 기타 이에 준하는 새로운 방식(생체인증 등) 중 2가지 이상 의무 적용 - (권고) ⑥ 타 기관 신원확인 결과 활용(휴대폰 본인확인 등), ⑦ 다수의 개인정보 검증 ※ 접근매체 : 전자금융거래에 있어서 거래지시를 하거나 이용자 및 거래내용의 진..

평가항목ID WEB-FIN-026 위험도 5 통제구분 5.8.3 (전자금융) 단말 보안 평가항목 [전자금융] 통신구간 암호화 적용 여부 상세설명 o 이용자 단말과 거래 및 인증을 수행하는 서버간 데이터 보호를 위해 안전한 통신 프로토콜 이용 여부를 점검 * (평가 예시) - 전자금융거래 시 통신구간 암호화(tls) 적용 여부를 점검 통신구간 암호화 적용 여부 TLS / SSL TLS(Transport Layer Security) 및 SSL(Secure Sockets Layer)은 인터넷과 같은 네트워크를 통해 보안 통신을 제공하는 암호화 프로토콜입니다. 일반적으로 클라이언트와 서버 간에 보안 연결을 설정하여 이들 간에 전송되는 데이터의 기밀성과 무결성을 보장하는 데 사용됩니다. SSL은 1990년대에 N..

평가항목ID WEB-FIN-025 위험도 5 통제구분 5.8.3 (전자금융) 단말 보안 평가항목 [전자금융] 단말기 브라우저 영역 내에서의 중요정보 노출 상세설명 o 단말기 브라우저 영역 내에서의 중요정보 기밀성 확보 여부를 점검 * (평가 예시) - 개발자 도구 등을 통해 이용자 구간 내 중요정보 평문 노출 유무 점검 등 * 웹 영역 : 웹을 구성하는 HTML, Javascript, DOM 등 웹을 표현하기 위한 영역 * 중요정보 : 고유식별정보(주민등록번호), 비밀번호(로그인 비밀번호, 계좌 비밀번호, 공인인증서 비밀번호 등), 신용정보(보안카드번호, OTP번호, 카드번호 등) 등 단말기 브라우저 영역 내에서의 중요정보 노출 중요정보가 단말기 브라우저 영역 내에 노출될 경우, 개인 정보 누출로 인한 ..

평가항목ID MOB-FIN-021 위험도 4 통제구분 5.8.3 (전자금융) 단말 보안 평가항목 [전자금융] 디버깅 탐지기능 적용 여부 상세설명 o 디버깅을 통한 코드 흐름, 메모리 상태 분석 등 프로그램 역분석을 어렵게 하기 위해, 안티디버깅 기능 적용 여부를 점검 * (평가 예시) - 동적 디버깅 프로그램(gdb, lldb, windbg 등)을 통해 디버깅 시 정상 실행 가능 여부 점검 등 디버깅 탐지기능 적용 여부 디버깅 감지 기능은 디버그 환경에서 실행되고 있는지 여부를 식별할 수 있는 소프트웨어 응용 프로그램의 기능입니다. 이는 애플리케이션의 보안과 안정성을 보장하고 악의적인 사용자가 코드의 취약성을 악용하는 것을 방지하는 데 중요합니다. 디버거 존재 여부 확인, 시스템 환경 분석 및 시스템 호..

평가항목ID MOB-FIN-020 위험도 4 통제구분 5.8.3 (전자금융) 단말 보안 평가항목 [전자금융] 소스코드 난독화 적용 여부 상세설명 o 디컴파일(DeCompile) 기술을 이용하여 복구된 소스코드의 분석(프로그램 흐름 파악, 중요정보 획득 등)을 어렵게 하기 위해, 소스코드(또는 실행파일) 난독화 여부를 점검 * (평가 예시) - 실행 프로그램 또는 소스코드 난독화 미적용으로 인한 중요 로직의 해독 가능 여부를 점검 소스코드 난독화 적용 여부 소스 코드 난독화는 기능을 유지하면서 프로그램의 소스 코드를 이해하고 리버스 엔지니어링하기 어렵게 만들기 위해 프로그램의 소스 코드를 수정하는 것입니다. 이는 변수 및 함수 이름 바꾸기, 무의미한 코드 추가, 암호화 및 난독화 알고리즘 사용과 같은 기술..

평가항목ID MOB-FIN-018 위험도 5 통제구분 5.8.3 (전자금융) 단말 보안 평가항목 [전자금융] 프로그램 무결성 검증 상세설명 o 변조된 프로그램이 정상실행 될 경우 악성코드가 포함되어 재배포 되는 등의 보안 위협이 존재함에 따라, 변조 프로그램 이용 시 정상 실행 가능 여부를 점검 * (평가 예시) - 설치파일(APK, IPA) 변조 후 재 설치 시, 정상 실행 가능 여부 점검 - 애플리케이션 설치 후 실행파일 및 관련 라이브러리 변조를 통해 정상 실행 가능 여부 점검 등 프로그램 무결성 검증 프로그램 무결성 확인은 프로그램 또는 소프트웨어 응용 프로그램이 승인되지 않은 방식으로 변조되거나 수정되지 않았는지 확인하는 프로세스를 말합니다. 이것은 프로그램의 보안과 신뢰성을 보장하고 사용자 신..

1. 프로젝트 실행결과Android_Integrity.zip - Android 프로젝트 파일iOS_Integrity.zip - iOS 프로젝트 파일Integrity.apk - Android 프로젝트 빌드 파일Integrity.ipa - iOS 프로젝트 빌드 파일1) Android 2) IOS 2. OS변조(루팅/탈옥)1) Android2023.05.15 - [보안/모바일 취약점 점검] - [Android] OS변조(루팅) 탐지 코드 [Android] OS변조(루팅) 탐지 코드안드로이드 루팅 루팅은 Android 운영 체제에 대한 관리 액세스 권한을 얻는 프로세스로, 이를 통해 사용자는 제조업체에서 일반적으로 허용하는 것 이상으로 장치의 소프트웨어를 수정할 수 있seo-security.tistory.com..

안티 디버깅(Anti-Debugging) 앱 안티 디버깅은 특정 모바일 앱의 디버깅을 감지하고 방지하기 위한 기술 및 메커니즘의 사용을 의미합니다. 앱을 디버깅하면 실행 중 동작을 분석하고 이해할 수 있으므로 문제 해결, 테스트 및 리버스 엔지니어링 목적에 도움이 될 수 있습니다. 그러나 공격자가 앱의 코드와 동작을 분석하여 취약성을 발견하거나 중요한 데이터를 훔치거나 익스플로잇을 개발하는 데 사용할 수도 있습니다. 앱 디버깅을 방지하기 위해 앱 개발자는 코드 난독화, 함수 포인터 조작, 중단점 감지 및 제어 흐름 난독화와 같은 다양한 디버깅 방지 기술을 구현할 수 있습니다. 이러한 기술은 공격자가 앱의 코드와 동작을 이해하기 어렵게 만들 수 있으므로 성공적인 공격을 개발하는 데 필요한 시간과 노력이 증..

해시 비교 무결성 검증 iOS 해시 비교 무결성 검증은 앱의 암호화 해시를 알려지고 신뢰할 수 있는 해시 값과 비교하여 iOS 앱의 무결성과 신뢰성을 보장하는 보안 메커니즘입니다. 이 메커니즘은 앱 개발자가 서명하고 게시한 이후 앱이 수정되거나 변조되지 않았는지 확인합니다. iOS 앱이 서명되면 앱의 이진 파일 내용을 기반으로 고유한 암호화 해시 값이 생성됩니다. 그런 다음 이 해시 값은 앱 개발자의 개인 키를 사용하여 암호화되어 앱의 진위와 무결성을 확인하는 디지털 서명을 생성합니다. 해시 비교를 통해 앱의 무결성을 확인하기 위해 iOS 시스템은 설치된 앱에 대한 해시 값을 생성하고 앱 개발자가 제공한 신뢰할 수 있는 해시 값과 비교합니다. 해시 값이 일치하면 앱을 신뢰할 수 있는 것으로 간주하고 기기..