평가항목ID MOB-FIN-018 위험도 5 통제구분 5.8.3 (전자금융) 단말 보안 평가항목 [전자금융] 프로그램 무결성 검증 상세설명 o 변조된 프로그램이 정상실행 될 경우 악성코드가 포함되어 재배포 되는 등의 보안 위협이 존재함에 따라, 변조 프로그램 이용 시 정상 실행 가능 여부를 점검 * (평가 예시) - 설치파일(APK, IPA) 변조 후 재 설치 시, 정상 실행 가능 여부 점검 - 애플리케이션 설치 후 실행파일 및 관련 라이브러리 변조를 통해 정상 실행 가능 여부 점검 등 프로그램 무결성 검증 프로그램 무결성 확인은 프로그램 또는 소프트웨어 응용 프로그램이 승인되지 않은 방식으로 변조되거나 수정되지 않았는지 확인하는 프로세스를 말합니다. 이것은 프로그램의 보안과 신뢰성을 보장하고 사용자 신..

평가항목ID WEB-FIN-017, MOB-FIN-017 위험도 4 통제구분 5.8.3 (전자금융) 단말 보안 평가항목 [전자금융] 이용자 입력정보 보호 상세설명 o 이용자 거래입력 수단(手段)을 보호하기 위한 금융회사 대응수단 및 적용범위 등을 점검 * (평가 예시) - 이용자 거래정보 입력보호 범위가 금융회사가 정한 범위와 달리 적용되어 있거나 또는 일관성 확인 - 이용자 거래정보 입력보호에 대응하기 위한 절차 또는 방법 존재 여부 점검 등 이용자 입력정보 보호 민감한 데이터에 대한 무단 액세스를 방지하려면 사용자 입력 정보를 보호하는 것이 중요합니다. 다음은 사용자 입력 정보를 보호하기 위한 몇 가지 방법니다. 1. 암호화 사용: 암호화를 사용하여 암호 및 신용 카드 정보와 같은 민감한 사용자 입력..

평가항목ID MOB-FIN-012 위험도 5 통제구분 5.8.3 (전자금융) 단말 보안 평가항목 [전자금융] 악성코드 방지 상세설명 o 악성코드에 대한 대응이 필요함에 따라, 전자금융서비스 이용 시 악성코드 차단 및 탐지 프로세스 동작 여부를 점검 * (평가 예시) - 애플리케이션 이용 시 악성코드 방지 프로세스 동작 여부 점검 - 악성코드 방지 프로세스 강제 종료 후 재구동 여부 점검 등 악성코드 방지 모바일 맬웨어 방지는 모바일 장치와 여기에 포함된 민감한 정보를 보호하는 데 필수적인 방법입니다. 다음은 모바일 맬웨어를 방지하기 위한 몇 가지 방법입니다. 1. 장치를 최신 상태로 유지: 모바일 맬웨어는 종종 오래된 소프트웨어의 취약성을 악용합니다. 장치의 운영 체제와 앱을 최신 상태로 유지하면 맬웨어..

평가항목ID MOB-FIN-011 위험도 5 통제구분 5.8.3 (전자금융) 단말 보안 평가항목 [전자금융] OS 변조 탐지 기능 적용 여부 상세설명 o OS가 변조(루팅, 탈옥) 된 단말 이용 시 보안 위협이 증대됨에 따라, OS변조 시 전자금융 서비스 이용가능 여부를 점검 * (평가 예시) - 권한이 상승된 OS변조 단말에서 서비스 이용 가능 여부 점검 등 안드로이드 루팅 루팅은 Android 운영 체제에 대한 관리 액세스 권한을 얻는 프로세스로, 이를 통해 사용자는 제조업체에서 일반적으로 허용하는 것 이상으로 장치의 소프트웨어를 수정할 수 있습니다. 여기에는 사용자 지정 ROM 설치, 사전 설치된 앱 제거, 일반적으로 제한되는 시스템 파일 및 설정 액세스가 포함될 수 있습니다. 루팅은 다양한 도구와..

평가항목ID WEB-FIN-010, MOB-FIN-010 위험도 5 통제구분 5.8.1 (전자금융) 거래 인증 평가항목 [전자금융] 비밀번호 변경 시 이전 비밀번호 재사용 여부 상세설명 o 전자금융거래 시 사용되는 비밀번호 변경 시 동일 비밀번호 재사용 가능 여부를 점검 * (평가 예시) - 비밀번호 변경 시 과거에 이용했던 비밀번호의 재사용 여부 점검 등 비밀번호 변경 시 이전 비밀번호 재사용 여부 암호를 변경할 때 이전 암호를 재사용하는 것은 일반적으로 권장하지 않습니다. 이렇게 하면 계정에 대한 무단 액세스 위험이 증가하고 민감한 데이터의 보안이 손상될 수 있기 때문입니다. 비밀번호 재사용은 사용자 사이에서 흔히 볼 수 있는 관행이며 공격자가 계정에 더 쉽게 액세스 할 수 있도록 합니다. 공격자는 ..

평가항목ID WEB-FIN-009, MOB-FIN-009 위험도 5 통제구분 5.8.1 (전자금융) 거래 인증 평가항목 [전자금융] 비밀번호 변경 시 본인확인 절차 실시 여부 상세설명 o 전자금융거래 시 사용되는 비밀번호 변경 시 본인확인 절차의 존재 여부를 점검 * (평가 예시) - 비밀번호 변경 시 본인확인 절차 존재 여부 점검 등 비밀번호 변경 시 본인확인 절차 실시 여부 일반적으로 비밀번호 변경 시 본인 확인 절차는 필요하지 않습니다. 그러나 비밀번호를 변경하는 개인에게 권한이 부여되고 비밀번호 변경 프로세스가 안전하고 신뢰할 수 있는지 확인하는 것이 중요합니다. 암호 변경의 보안 및 무결성을 보장하기 위해 회사 및 조직은 복잡한 암호 및 정기적인 암호 업데이트를 요구하는 것과 같은 강력한 암호 ..

평가항목ID WEB-FIN-007, MOB-FIN-007 위험도 5 통제구분 5.8.2 (전자금융) 거래 인증 평가항목 [전자금융] 사전에 정한 조회기간 이상으로 거래내역 조회가능 여부 상세설명 o 거래내역 조회 시 금융회사가 정한 기간 이상의 내역 조회 가능 여부를 점검 * (평가 예시) - 3개월로 정한 거래내역 조회기능을 3개월 이상으로 변경 후 응답 여부 점검 - 거래가 종료된 계좌에 대해 거래내역을 임의 조회 가능 여부 점검 등 사전에 정한 조회기간 이상으로 거래내역 조회가능 여부 미리 정해진 조회 기간 이후에도 거래 내역을 볼 수 있는지 여부는 법적 및 규제 요구 사항, 데이터 보존 정책 및 기술적 제한과 같은 여러 요인에 따라 다릅니다. 경우에 따라 법률 및 규제 요구 사항에 따라 특정 기간..

평가항목ID WEB-FIN-006, MOB-FIN-006 위험도 5 통제구분 5.8.2 (전자금융) 거래 인증 평가항목 [전자금융] 거래시 소유주 확인 여부 상세설명 o 전자금융거래 시 이용자의 이용 권한 검증 여부를 점검 * (평가 예시) - 계좌(카드,계약)정보 조회 시 타 이용자의 계좌(카드,계약)번호 입력 후 타 이용자 계좌 조회 가능 여부 점검 - 거래 요청 시 계좌 번호를 현재 로그인 중인 이용자가 아닌 다른 이용자의 계좌번호로 변조하여 거래 시도 등 거래시 소유주 확인 여부 거래 중 소유자를 확인하는 것은 거래의 무결성과 보안을 보장하는 중요한 측면이 될 수 있습니다. 거래 계정의 소유자를 확인함으로써 신원 도용 또는 무단 계정 액세스와 같은 사기 행위의 위험을 줄일 수 있습니다. 2단계 인..

평가항목ID WEB-FIN-005, MOB-FIN-005 위험도 5 통제구분 5.8.2 (전자금융) 거래 인증 평가항목 [전자금융] 거래정보 재사용 상세설명 o 전자금융거래 시 이용되는 거래정보의 재사용 가능 여부를 점검 * (평가 예시) - 기 사용된 거래정보(이체 전문, 결제 전문 등)를 재전송하여 정상거래 가능 여부를 점검 등 거래정보 재사용 거래정보 정보의 재사용은 동일한 거래정보 데이터를 초기 의도된 용도를 넘어 여러 목적으로 사용하는 관행을 의미합니다. 예를 들어, 회사는 고객 주문을 처리할 목적으로 거래 데이터를 수집할 수 있지만 프로모션 이메일 전송 또는 대상 광고와 같은 마케팅 목적으로 해당 데이터를 재사용할 수 있습니다. 이 관행은 회사에 합법적이고 유익할 수 있지만 데이터 개인 정보 ..

평가항목ID WEB-FIN-004, MOB-FIN-004 위험도 5 통제구분 5.8.2 (전자금융) 거래 인증 평가항목 [전자금융] 거래정보 무결성 검증 상세설명 o 전자금융거래 시 이용되는 거래정보의 무결성 검증 여부를 점검 * (평가 예시) - 예비거래에 이용된 거래정보와 본거래에서 이용된 거래정보의 일치 여부 점검 - 본 거래정보와 최종 승인된 거래정보의 일치 여부 점검 - 전자서명기술 이용 시 타인인증서로 서명 후 거래 가능 여부 점검 - 전자서명기술 이용 시 전자서명 검증절차 오류 여부 점검 - 전자서명기술 이용 시 전자서명 무결성 검증 오류 여부 점검 - 전자서명기술 이용 시 매번 동일한 전자서명값 이용 여부 점검 등 - 계좌 인증 수행 시 이체 금액을 변조하여 전송 가능 여부를 점검 - 유료..