평가항목ID WEB-SER-005, MOB-SER-005 위험도 5 통제구분 5.8.5 (일반공통) 이용자 인증 평가항목 고정된 인증정보 이용 상세설명 o SMS 등 이용자 인증을 위해 생성되는 값에 대해 인증정보 탈취 방지를 위해 가변적인 데이터 사용 여부를 점검 * (평가 예시) - SMS, ARS 등 이용자 인증 시 매번 동일한 인증코드 생성 여부 점검 등 고정된 인증정보 이용 SMS 등 이용자 인증을 위해 생성되는 값이 고정된 값일 경우 인증코드 유출 시 공격자가 이를 이용하여 도용이 발생할 수 있으므로 가변적인 데이터를 사용해야 합니다. 이용자 인증정보는 세션정보와 1회성 인증정보로 분류할 수 있습니다. 분류 대상 위험 세션정보 - 세션ID - SSO세션 토큰 세션 정보(세션ID, SSO인증토큰..

평가항목ID WEB-SER-004, MOB-SER-004 위험도 5 통제구분 5.8.5 (일반공통) 이용자 인증 평가항목 이용자 인증정보 재사용 상세설명 o 중간자 공격 등에 의해 탈취된 인증정보가 재사용되는 것을 방지하기 위해 이미 사용된 인증정보(전자서명값 등)에 대해 재사용 가능 여부를 점검 * (평가 예시) - 이용자 인증 수행을 위해 생성된 전자서명 값의 재사용 가능 여부를 점검 - OTP/SMS/계좌 인증에 사용되는 일회성 값의 재사용 가능 여부를 점검 - 비대면 실명인증(신분증 사본 제출) 수행 시, 서버에 전송되는 신분증 사진 및 신분증 정보(주민등록번호, 이름, 발급일자 등)에 대해 재사용 가능 여부를 점검 등 이용자 인증정보 재사용 사용자 인증정보가 재사용 가능한 경우 중간자 공격 등에..

평가항목ID WEB-SER-003, MOB-SER-003 위험도 5 통제구분 5.8.4 (일반공통) 서비스 보호 평가항목 부적절한 이용자 인가 여부 상세설명 o 접근 권한에 대한 검증 과정이 구현되지 않아 다른 이용자의 민감한 정보나 권한이 노출 될 수 있으므로 이에 대한 검증절차 존재 여부를 점검 * (평가 예시) - 현재 로그인 중인 이용자가 중요 정보가 포함된 페이지에 대해 접근권한 확인 여부 점검 - 중요 정보 페이지에서 이용자 파라미터 변경으로 타인의 정보를 열람, 수정이 가능 여부 점검 - 통상 파라미터 변조에 따른 비정상적인 권한상승/조회/변경 가능 여부 등을 점검 부적절한 이용자 인가 여부 적절한 사용자 권한 부여는 사용자가 가져서는 안 되는 특정 리소스 또는 권한에 대한 액세스 권한이 부..

평가항목ID WEB-SER-002, MOB-SER-002 위험도 5 통제구분 5.8.4 (일반공통) 서비스 보호 평가항목 악성파일 업로드 상세설명 o 웹쉘 등과 같은 악성파일이 업로드 될 경우 시스템 명령어 실행 및 인접 서버에 대한 침입 가능성이 존재함에 따라, 악성파일 업로드 및 실행 가능 여부를 점검 * (평가 예시) - 이미지, 한글(hwp) 등의 파일을 업로드 할 수 있는 부분에 JSP, ASP 등의 스크립트 파일 업로드 가능 여부 점검 - 업로드 된 파일의 위치 및 실행 가능 여부 점검 등 * 웹쉘(web shell) : 업로드 취약점을 통하여 해커가 원격에서 웹서버를 조종할 수 있도록 작성한 웹 스크립트(단체표준 TTAK.KO-12.0002/R3 정보 보호 기술 용어) 악성파일 업로드 성공적..

평가항목ID WEB-SER-001, MOB-SER-001 위험도 5 통제구분 5.8.4 (일반공통) 서비스 보호 평가항목 SQL Injection 상세설명 o 사용자가 간섭 가능한 매개변수(URL 파라미터, XML 등)에 의해 SQL 질의문이 완성되는 점을 이용하여, 해당 매개변수 변조를 통해 비정상 질의 가능 여부를 점검 * (평가 예시) - URL 파라미터 또는 XML 등 입력하는 부분에 SQL 구문 입력 후 서버에서 응답한 값에 대한 위험성 점검 - SQL문으로 해석될 수 있는 값(글번호, 검색 내용 등)을 입력하여 데이터베이스내에 저장된 정보 열람 및 시스템 명령 실행가능 여부 점검 - 조작된 XPath 쿼리를 보내어 비정상적인 질의 가능 여부 점검 등 SQL Injection 데이터베이스(DB)..

평가항목ID WEB-FIN-027, MOB-FIN-027 위험도 5 통제구분 5.8.1 (전자금융) 거래 인증 평가항목 [전자금융] 접근매체 발급 시 실명확인 수행 여부 상세설명 o 비인가자에 의한 접근매체 무단 발급에 대응하기 위해 접근매체 발급 시 실명확인 수행 여부를 점검 * (평가 예시) - 접근매체 발급 시 실명확인 수행 여부를 점검 ※ 실명확인 수행 방법 - (필수) ① 신분증 사본 제출, ② 영상통화, ③ 접근매체 전달시 확인, ④ 기존계좌 활용, ⑤ 기타 이에 준하는 새로운 방식(생체인증 등) 중 2가지 이상 의무 적용 - (권고) ⑥ 타 기관 신원확인 결과 활용(휴대폰 본인확인 등), ⑦ 다수의 개인정보 검증 ※ 접근매체 : 전자금융거래에 있어서 거래지시를 하거나 이용자 및 거래내용의 진..

평가항목ID WEB-FIN-026 위험도 5 통제구분 5.8.3 (전자금융) 단말 보안 평가항목 [전자금융] 통신구간 암호화 적용 여부 상세설명 o 이용자 단말과 거래 및 인증을 수행하는 서버간 데이터 보호를 위해 안전한 통신 프로토콜 이용 여부를 점검 * (평가 예시) - 전자금융거래 시 통신구간 암호화(tls) 적용 여부를 점검 통신구간 암호화 적용 여부 TLS / SSL TLS(Transport Layer Security) 및 SSL(Secure Sockets Layer)은 인터넷과 같은 네트워크를 통해 보안 통신을 제공하는 암호화 프로토콜입니다. 일반적으로 클라이언트와 서버 간에 보안 연결을 설정하여 이들 간에 전송되는 데이터의 기밀성과 무결성을 보장하는 데 사용됩니다. SSL은 1990년대에 N..

평가항목ID WEB-FIN-025 위험도 5 통제구분 5.8.3 (전자금융) 단말 보안 평가항목 [전자금융] 단말기 브라우저 영역 내에서의 중요정보 노출 상세설명 o 단말기 브라우저 영역 내에서의 중요정보 기밀성 확보 여부를 점검 * (평가 예시) - 개발자 도구 등을 통해 이용자 구간 내 중요정보 평문 노출 유무 점검 등 * 웹 영역 : 웹을 구성하는 HTML, Javascript, DOM 등 웹을 표현하기 위한 영역 * 중요정보 : 고유식별정보(주민등록번호), 비밀번호(로그인 비밀번호, 계좌 비밀번호, 공인인증서 비밀번호 등), 신용정보(보안카드번호, OTP번호, 카드번호 등) 등 단말기 브라우저 영역 내에서의 중요정보 노출 중요정보가 단말기 브라우저 영역 내에 노출될 경우, 개인 정보 누출로 인한 ..

평가항목ID MOB-FIN-021 위험도 4 통제구분 5.8.3 (전자금융) 단말 보안 평가항목 [전자금융] 디버깅 탐지기능 적용 여부 상세설명 o 디버깅을 통한 코드 흐름, 메모리 상태 분석 등 프로그램 역분석을 어렵게 하기 위해, 안티디버깅 기능 적용 여부를 점검 * (평가 예시) - 동적 디버깅 프로그램(gdb, lldb, windbg 등)을 통해 디버깅 시 정상 실행 가능 여부 점검 등 디버깅 탐지기능 적용 여부 디버깅 감지 기능은 디버그 환경에서 실행되고 있는지 여부를 식별할 수 있는 소프트웨어 응용 프로그램의 기능입니다. 이는 애플리케이션의 보안과 안정성을 보장하고 악의적인 사용자가 코드의 취약성을 악용하는 것을 방지하는 데 중요합니다. 디버거 존재 여부 확인, 시스템 환경 분석 및 시스템 호..

평가항목ID MOB-FIN-020 위험도 4 통제구분 5.8.3 (전자금융) 단말 보안 평가항목 [전자금융] 소스코드 난독화 적용 여부 상세설명 o 디컴파일(DeCompile) 기술을 이용하여 복구된 소스코드의 분석(프로그램 흐름 파악, 중요정보 획득 등)을 어렵게 하기 위해, 소스코드(또는 실행파일) 난독화 여부를 점검 * (평가 예시) - 실행 프로그램 또는 소스코드 난독화 미적용으로 인한 중요 로직의 해독 가능 여부를 점검 소스코드 난독화 적용 여부 소스 코드 난독화는 기능을 유지하면서 프로그램의 소스 코드를 이해하고 리버스 엔지니어링하기 어렵게 만들기 위해 프로그램의 소스 코드를 수정하는 것입니다. 이는 변수 및 함수 이름 바꾸기, 무의미한 코드 추가, 암호화 및 난독화 알고리즘 사용과 같은 기술..