아이폰 탈옥 탈옥은 Apple이 iOS 운영 체제에 부과한 소프트웨어 제한을 제거하는 과정으로, 사용자가 장치에 대한 루트 액세스 권한을 얻고 공식 App Store를 통해 사용할 수 없는 앱 및 조정을 설치할 수 있습니다. 탈옥은 일반적으로 iOS 운영 체제의 보안 취약점을 악용하여 보안 조치를 우회하여 사용자가 일반적으로 제한되는 시스템 파일 및 설정에 액세스할 수 있도록 합니다. 장치가 탈옥되면 사용자는 타사 소스에서 앱을 설치하고, 장치의 모양과 기능을 사용자 지정하고, 사전 설치된 앱 및 Apple에서 부과한 기타 제한 사항을 제거할 수 있습니다. 탈옥은 더 넓은 범위의 앱에 대한 액세스 및 조정, 개인 취향에 맞게 장치를 사용자 정의하는 기능, 탈옥되지 않은 장치에서는 불가능한 고급 작업을 수..

안티 디버깅(Anti-Debugging) 앱 안티 디버깅은 특정 모바일 앱의 디버깅을 감지하고 방지하기 위한 기술 및 메커니즘의 사용을 의미합니다. 앱을 디버깅하면 실행 중 동작을 분석하고 이해할 수 있으므로 문제 해결, 테스트 및 리버스 엔지니어링 목적에 도움이 될 수 있습니다. 그러나 공격자가 앱의 코드와 동작을 분석하여 취약성을 발견하거나 중요한 데이터를 훔치거나 익스플로잇을 개발하는 데 사용할 수도 있습니다. 앱 디버깅을 방지하기 위해 앱 개발자는 코드 난독화, 함수 포인터 조작, 중단점 감지 및 제어 흐름 난독화와 같은 다양한 디버깅 방지 기술을 구현할 수 있습니다. 이러한 기술은 공격자가 앱의 코드와 동작을 이해하기 어렵게 만들 수 있으므로 성공적인 공격을 개발하는 데 필요한 시간과 노력이 증..

해시 비교 무결성 검증 Android 해시 비교 무결성 확인은 Android 앱의 암호화 해시를 알려지고 신뢰할 수 있는 해시 값과 비교하여 앱의 무결성과 신뢰성을 보장하는 보안 메커니즘입니다. 이 메커니즘은 앱 개발자가 서명하고 게시한 이후 앱이 어떤 식으로든 변조되거나 수정되지 않았는지 확인합니다. Android 앱이 서명되면 앱의 APK 파일 콘텐츠를 기반으로 고유한 암호화 해시 값이 생성됩니다. 그런 다음 이 해시 값은 앱 개발자의 개인 키를 사용하여 암호화되어 앱의 진위와 무결성을 확인하는 디지털 서명을 생성합니다. 해시 비교를 사용하여 앱의 무결성을 확인하기 위해 Android 시스템은 설치된 앱에 대한 해시 값을 생성하고 앱 개발자가 제공한 신뢰할 수 있는 해시 값과 비교합니다. 해시 값이 ..

안드로이드 루팅 루팅은 Android 운영 체제에 대한 관리 액세스 권한을 얻는 프로세스로, 이를 통해 사용자는 제조업체에서 일반적으로 허용하는 것 이상으로 장치의 소프트웨어를 수정할 수 있습니다. 여기에는 사용자 지정 ROM 설치, 사전 설치된 앱 제거, 일반적으로 제한되는 시스템 파일 및 설정 액세스가 포함될 수 있습니다. 루팅은 다양한 도구와 방법을 사용하여 수행할 수 있지만 일반적으로 Android 시스템의 보안 취약성을 악용하여 높은 권한을 얻습니다. 이는 잠재적으로 장치의 보안 및 안정성을 손상시킬 수 있고 제조업체의 보증을 무효화할 수 있으므로 위험할 수 있습니다. 그러나 루팅은 기기의 모양과 기능을 사용자 정의하고, Google Play 스토어에서 사용할 수 없는 앱을 설치하고, 불필요한 ..

평가항목ID WEB-FIN-017, MOB-FIN-017 위험도 4 통제구분 5.8.3 (전자금융) 단말 보안 평가항목 [전자금융] 이용자 입력정보 보호 상세설명 o 이용자 거래입력 수단(手段)을 보호하기 위한 금융회사 대응수단 및 적용범위 등을 점검 * (평가 예시) - 이용자 거래정보 입력보호 범위가 금융회사가 정한 범위와 달리 적용되어 있거나 또는 일관성 확인 - 이용자 거래정보 입력보호에 대응하기 위한 절차 또는 방법 존재 여부 점검 등 이용자 입력정보 보호 민감한 데이터에 대한 무단 액세스를 방지하려면 사용자 입력 정보를 보호하는 것이 중요합니다. 다음은 사용자 입력 정보를 보호하기 위한 몇 가지 방법니다. 1. 암호화 사용: 암호화를 사용하여 암호 및 신용 카드 정보와 같은 민감한 사용자 입력..

평가항목ID MOB-FIN-012 위험도 5 통제구분 5.8.3 (전자금융) 단말 보안 평가항목 [전자금융] 악성코드 방지 상세설명 o 악성코드에 대한 대응이 필요함에 따라, 전자금융서비스 이용 시 악성코드 차단 및 탐지 프로세스 동작 여부를 점검 * (평가 예시) - 애플리케이션 이용 시 악성코드 방지 프로세스 동작 여부 점검 - 악성코드 방지 프로세스 강제 종료 후 재구동 여부 점검 등 악성코드 방지 모바일 맬웨어 방지는 모바일 장치와 여기에 포함된 민감한 정보를 보호하는 데 필수적인 방법입니다. 다음은 모바일 맬웨어를 방지하기 위한 몇 가지 방법입니다. 1. 장치를 최신 상태로 유지: 모바일 맬웨어는 종종 오래된 소프트웨어의 취약성을 악용합니다. 장치의 운영 체제와 앱을 최신 상태로 유지하면 맬웨어..

평가항목ID MOB-FIN-011 위험도 5 통제구분 5.8.3 (전자금융) 단말 보안 평가항목 [전자금융] OS 변조 탐지 기능 적용 여부 상세설명 o OS가 변조(루팅, 탈옥) 된 단말 이용 시 보안 위협이 증대됨에 따라, OS변조 시 전자금융 서비스 이용가능 여부를 점검 * (평가 예시) - 권한이 상승된 OS변조 단말에서 서비스 이용 가능 여부 점검 등 안드로이드 루팅 루팅은 Android 운영 체제에 대한 관리 액세스 권한을 얻는 프로세스로, 이를 통해 사용자는 제조업체에서 일반적으로 허용하는 것 이상으로 장치의 소프트웨어를 수정할 수 있습니다. 여기에는 사용자 지정 ROM 설치, 사전 설치된 앱 제거, 일반적으로 제한되는 시스템 파일 및 설정 액세스가 포함될 수 있습니다. 루팅은 다양한 도구와..

평가항목ID WEB-FIN-010, MOB-FIN-010 위험도 5 통제구분 5.8.1 (전자금융) 거래 인증 평가항목 [전자금융] 비밀번호 변경 시 이전 비밀번호 재사용 여부 상세설명 o 전자금융거래 시 사용되는 비밀번호 변경 시 동일 비밀번호 재사용 가능 여부를 점검 * (평가 예시) - 비밀번호 변경 시 과거에 이용했던 비밀번호의 재사용 여부 점검 등 비밀번호 변경 시 이전 비밀번호 재사용 여부 암호를 변경할 때 이전 암호를 재사용하는 것은 일반적으로 권장하지 않습니다. 이렇게 하면 계정에 대한 무단 액세스 위험이 증가하고 민감한 데이터의 보안이 손상될 수 있기 때문입니다. 비밀번호 재사용은 사용자 사이에서 흔히 볼 수 있는 관행이며 공격자가 계정에 더 쉽게 액세스 할 수 있도록 합니다. 공격자는 ..

평가항목ID WEB-FIN-009, MOB-FIN-009 위험도 5 통제구분 5.8.1 (전자금융) 거래 인증 평가항목 [전자금융] 비밀번호 변경 시 본인확인 절차 실시 여부 상세설명 o 전자금융거래 시 사용되는 비밀번호 변경 시 본인확인 절차의 존재 여부를 점검 * (평가 예시) - 비밀번호 변경 시 본인확인 절차 존재 여부 점검 등 비밀번호 변경 시 본인확인 절차 실시 여부 일반적으로 비밀번호 변경 시 본인 확인 절차는 필요하지 않습니다. 그러나 비밀번호를 변경하는 개인에게 권한이 부여되고 비밀번호 변경 프로세스가 안전하고 신뢰할 수 있는지 확인하는 것이 중요합니다. 암호 변경의 보안 및 무결성을 보장하기 위해 회사 및 조직은 복잡한 암호 및 정기적인 암호 업데이트를 요구하는 것과 같은 강력한 암호 ..

평가항목ID WEB-FIN-007, MOB-FIN-007 위험도 5 통제구분 5.8.2 (전자금융) 거래 인증 평가항목 [전자금융] 사전에 정한 조회기간 이상으로 거래내역 조회가능 여부 상세설명 o 거래내역 조회 시 금융회사가 정한 기간 이상의 내역 조회 가능 여부를 점검 * (평가 예시) - 3개월로 정한 거래내역 조회기능을 3개월 이상으로 변경 후 응답 여부 점검 - 거래가 종료된 계좌에 대해 거래내역을 임의 조회 가능 여부 점검 등 사전에 정한 조회기간 이상으로 거래내역 조회가능 여부 미리 정해진 조회 기간 이후에도 거래 내역을 볼 수 있는지 여부는 법적 및 규제 요구 사항, 데이터 보존 정책 및 기술적 제한과 같은 여러 요인에 따라 다릅니다. 경우에 따라 법률 및 규제 요구 사항에 따라 특정 기간..