➰ 서론
금융감독원은 안정성과 신뢰성을 확보하기 위해 매년 전자금융기반시설 보안 취약점(WEB/MOB/HTS) 평가기준 정리와 수정을 실시한다. 개정된 2024년도 전자금융기반시설 보안 취약점 평가기준을 살펴보자.
➰ 2024년도 평가기준 개정결과
웹은 10가지, 모바일 11개, HTS 6개 항목이 개정되었다.
출처 : 24년도 전자금융기반시설 보안 취약점 평가기준 설명회
➰ 가이드
보안 취약점 가이드는 아래를 참고하였다.
-
금융보안원 보안평가기술팀
-
KISA 모바일 대민서비스 보안취약점 점검 가이드
-
주요정보통신기반시설 기술적 취약점 분석, 평가 방법 상세 가이드
-
금융감독원 점검 가이드
➰ 전자금융기반시설 보안 취약점 평가기준(기존)
**임의의 기준으로 작성한 취약점 점검 기준으로, 가이드와 상이할 수 있습니다.
| No | 대상 | 점검 분류 | 평가 항목 | 전자금융분류 |
|---|---|---|---|---|
| 001 | WEB/MOB/HTS | 거래 인증 | [전자금융] 거래 인증수단 검증 오류 | 전자금융 |
| 002 | WEB/MOB/HTS | 거래 인증 | [전자금융] 비밀번호 변경 시 본인확인 절차 실시 여부 | 전자금융 |
| 003 | WEB/MOB/HTS | 거래 인증 | [전자금융] 비밀번호 변경 시 이전 비밀번호 재사용 여부 | 전자금융 |
| 004 | WEB/MOB/HTS | 거래 인증 | [전자금융] 접근매체 발급 시 실명확인 수행 여부 | 전자금융 |
| 005 | WEB/MOB/HTS | 거래정보 검증 | [전자금융] 거래정보 무결성 검증 | 전자금융 |
| 006 | WEB/MOB/HTS | 거래정보 검증 | [전자금융] 거래정보 재사용 | 전자금융 |
| 007 | WEB/MOB/HTS | 거래정보 검증 | [전자금융] 거래시 소유주 확인 여부 | 전자금융 |
| 008 | WEB/MOB/HTS | 거래정보 검증 | [전자금융] 사전에 정한 조회기간 이상으로 거래내역 조회가능 여부 | 전자금융 |
| 009 | MOB | 단말 보안 | [전자금융] OS 변조 탐지 기능 적용 여부 | 전자금융 |
| 010 | MOB | 단말 보안 | [전자금융] 악성코드 방지 | 전자금융 |
| 011 | WEB/MOB/HTS | 단말 보안 | [전자금융] 이용자 입력정보 보호 | 전자금융 |
| 012 | MOB/HTS | 단말 보안 | [전자금융] 프로그램 무결성 검증 | 전자금융 |
| 013 | MOB/HTS | 단말 보안 | [전자금융] 소스코드 난독화 적용 여부 | 전자금융 |
| 014 | MOB/HTS | 단말 보안 | [전자금융] 디버깅 탐지기능 적용 여부 | 전자금융 |
| 015 | WEB/MOB/HTS | 단말 보안 | [전자금융] 통신구간 암호화 적용 여부 | 전자금융 |
| 016 | MOB/HTS | 단말 보안 | 단말기 내 중요정보 저장 여부 | 일반공통 |
| 017 | MOB/HTS | 단말 보안 | 메모리 내 중요정보 노출 여부 | 일반공통 |
| 018 | MOB/HTS | 단말 보안 | 화면 내 중요정보 평문노출 여부 | 일반공통 |
| 019 | MOB | 단말 보안 | 앱 소스코드 내 운영정보 노출 여부 | 일반공통 |
| 020 | MOB | 단말 보안 | 화면 강제실행에 의한 인증단계 우회 | 일반공통 |
| 021 | MOB | 단말 보안 | 디버그 로그 내 중요정보 노출 여부 | 일반공통 |
| 022 | MOB | 단말 보안 | 백그라운드 화면 보호 | 일반공통 |
| 023 | WEB/MOB/HTS | 데이터 보호 | 데이터 평문전송 | 일반공통 |
| 024 | WEB/MOB | 데이터 보호 | 취약한 HTTPS 프로토콜 이용 | 일반공통 |
| 025 | WEB/MOB | 데이터 보호 | 취약한 HTTPS 암호 알고리즘 이용 | 일반공통 |
| 026 | WEB/MOB | 데이터 보호 | 취약한 HTTPS 컴포넌트 사용 | 일반공통 |
| 027 | WEB/MOB | 데이터 보호 | 취약한 HTTPS 재협상 허용 | 일반공통 |
| 028 | WEB/MOB/HTS | 서비스 보호 | SQL Injection | 일반공통 |
| 029 | WEB/MOB/HTS | 서비스 보호 | 악성파일 업로드 | 일반공통 |
| 030 | WEB/MOB/HTS | 서비스 보호 | 부적절한 이용자 인가 여부 | 일반공통 |
| 031 | WEB/MOB/HTS | 서비스 보호 | 파일 다운로드 | 일반공통 |
| 032 | WEB/MOB/HTS | 서비스 보호 | 외부사이트에 의한 시스템 운영정보 노출 여부 | 일반공통 |
| 033 | WEB/MOB/HTS | 서비스 보호 | 운영체제 명령실행 | 일반공통 |
| 034 | WEB/MOB/HTS | 서비스 보호 | XML 외부객체 공격 (XXE) | 일반공통 |
| 035 | WEB/MOB | 서비스 보호 | 리다이렉트 기능을 이용한 피싱 공격 | 일반공통 |
| 036 | WEB/MOB/HTS | 서비스 보호 | 불충분한 이용자 인증 | 일반공통 |
| 037 | WEB/MOB/HTS | 서비스 보호 | 자동화공격 | 일반공통 |
| 038 | WEB/MOB | 서비스 보호 | 크로스사이트 요청변조 (CSRF) | 일반공통 |
| 039 | WEB/MOB | 서비스 보호 | 디렉토리 목록 노출 | 일반공통 |
| 040 | WEB/MOB | 서비스 보호 | 서버 인증서 무결성 검증 | 일반공통 |
| 041 | WEB/MOB/HTS | 서비스 보호 | 시스템 운영정보 노출 여부 | 일반공통 |
| 042 | WEB/MOB | 서비스 보호 | 불필요한 웹 메서드 허용 | 일반공통 |
| 043 | WEB/MOB/HTS | 서비스 보호 | 관리자 페이지 노출 여부 | 일반공통 |
| 044 | WEB/MOB/HTS | 서비스 보호 | 불필요한 파일 노출 여부 | 일반공통 |
| 045 | WEB/MOB | 서비스 보호 | 크로스 사이트 스크립팅 (XSS) | 일반공통 |
| 046 | WEB/MOB | 서비스 보호 | 서버 사이드 요청 위조 (SSRF) | 일반공통 |
| 047 | WEB/MOB/HTS | 서비스 보호 | 세션정보 재사용 | 일반공통 |
| 048 | WEB/MOB/HTS | 서비스 보호 | 인증수단 소유자 검증 여부 | 일반공통 |
| 049 | MOB | 서비스 보호 | 모바일 DeepLink 도용 취약점 | 일반공통 |
| 050 | WEB/MOB/HTS | 이용자 인증 | 이용자 인증정보 재사용 | 일반공통 |
| 051 | WEB/MOB/HTS | 이용자 인증 | 고정된 인증정보 이용 | 일반공통 |
| 052 | WEB/MOB/HTS | 이용자 인증 | 유추가능한 인증정보 이용 | 일반공통 |
| 053 | WEB/MOB/HTS | 이용자 인증 | 유추가능한 초기화 비밀번호 이용 | 일반공통 |
| 054 | WEB/MOB | 이용자 인증 | 유추 가능한 세션ID | 일반공통 |
| 055 | WEB/MOB | 이용자 인증 | 쿠키변조 | 일반공통 |
| 056 | WEB/MOB/HTS | 이용자 인증 | 인증 오류 횟수 제한기능 제공 여부 | 일반공통 |
| 057 | WEB/MOB/HTS | 이용자 인증 | 불충분한 세션종료 처리 | 일반공통 |
➰ 전자금융기반시설 보안 취약점 평가기준(2024년도) 개정 후
아래의 2개의 항목이 추가되고 4개의 항목이 삭제되었다.
또한 9개 항목이 점검 기준이 개정되었다.
| No | 대상 | 점검 분류 | 평가 항목 | 전자금융분류 |
|---|---|---|---|---|
| 001 | WEB/MOB/HTS | 거래 인증 | [전자금융] 거래 인증수단 검증 오류 | 전자금융 |
| 002 | WEB/MOB/HTS | 거래 인증 | [전자금융] 비밀번호 변경 시 본인확인 절차 실시 여부 | 전자금융 |
| 003 | WEB/MOB/HTS | 거래 인증 | [전자금융] 비밀번호 변경 시 이전 비밀번호 재사용 여부 | 전자금융 |
| 004 | WEB/MOB/HTS | 거래 인증 | [전자금융] 접근매체 발급 시 실명확인 수행 여부 | 전자금융 |
| 005 | WEB/MOB/HTS | 거래정보 검증 | [전자금융] 거래정보 무결성 검증 | 전자금융 |
| 006 | WEB/MOB/HTS | 거래정보 검증 | [전자금융] 거래정보 재사용 | 전자금융 |
| 007 | WEB/MOB/HTS | 거래정보 검증 | [전자금융] 거래시 소유주 확인 여부 | 전자금융 |
| 008 | MOB | 단말 보안 | [전자금융] OS 변조 탐지 기능 적용 여부 | 전자금융 |
| 009 | MOB | 단말 보안 | [전자금융] 악성코드 방지 | 전자금융 |
| 010 | WEB/MOB/HTS | 단말 보안 | [전자금융] 이용자 입력정보 보호 | 전자금융 |
| 011 | MOB/HTS | 단말 보안 | [전자금융] 프로그램 무결성 검증 | 전자금융 |
| 012 | MOB/HTS | 단말 보안 | [전자금융] 소스코드 난독화 적용 여부 | 전자금융 |
| 013 | MOB/HTS | 단말 보안 | [전자금융] 디버깅 탐지기능 적용 여부 | 전자금융 |
| 014 | MOB/HTS | 단말 보안 | 단말기 내 중요정보 저장 여부 | 일반공통 |
| 015 | MOB/HTS | 단말 보안 | 메모리 내 중요정보 노출 여부 | 일반공통 |
| 016 | MOB/HTS | 단말 보안 | 화면 내 중요정보 평문노출 여부 | 일반공통 |
| 017 | MOB | 단말 보안 | 앱 소스코드 내 운영정보 노출 여부 | 일반공통 |
| 018 | MOB | 단말 보안 | 화면 강제실행에 의한 인증단계 우회 | 일반공통 |
| 019 | MOB | 단말 보안 | 디버그 로그 내 중요정보 노출 여부 | 일반공통 |
| 020 | MOB | 단말 보안 | 백그라운드 화면 보호 | 일반공통 |
| 021 | WEB/MOB | 데이터 보호 | 취약한 HTTPS 프로토콜 이용 | 일반공통 |
| 022 | WEB/MOB | 데이터 보호 | 취약한 HTTPS 암호 알고리즘 이용 | 일반공통 |
| 023 | WEB/MOB | 데이터 보호 | 취약한 HTTPS 컴포넌트 사용 | 일반공통 |
| 024 | WEB/MOB | 데이터 보호 | 취약한 HTTPS 재협상 허용 | 일반공통 |
| 025 | WEB/MOB/HTS | 서비스 보호 | SQL Injection | 일반공통 |
| 026 | WEB/MOB/HTS | 서비스 보호 | 악성파일 업로드 | 일반공통 |
| 027 | WEB/MOB/HTS | 서비스 보호 | 부적절한 이용자 인가 여부 | 일반공통 |
| 028 | WEB/MOB/HTS | 서비스 보호 | 파일 다운로드 | 일반공통 |
| 029 | WEB/MOB/HTS | 서비스 보호 | 외부사이트에 의한 시스템 운영정보 노출 여부 | 일반공통 |
| 030 | WEB/MOB/HTS | 서비스 보호 | 운영체제 명령실행 | 일반공통 |
| 031 | WEB/MOB/HTS | 서비스 보호 | XML 외부객체 공격 (XXE) | 일반공통 |
| 032 | WEB/MOB | 서비스 보호 | 리다이렉트 기능을 이용한 피싱 공격 | 일반공통 |
| 033 | WEB/MOB/HTS | 서비스 보호 | 불충분한 이용자 인증 | 일반공통 |
| 034 | WEB/MOB/HTS | 서비스 보호 | 자동화공격 | 일반공통 |
| 035 | WEB/MOB | 서비스 보호 | 크로스사이트 요청변조 (CSRF) | 일반공통 |
| 036 | WEB/MOB | 서비스 보호 | 디렉토리 목록 노출 | 일반공통 |
| 037 | WEB/MOB | 서비스 보호 | 서버 인증서 무결성 검증 | 일반공통 |
| 038 | WEB/MOB/HTS | 서비스 보호 | 시스템 운영정보 노출 여부 | 일반공통 |
| 039 | WEB/MOB | 서비스 보호 | 불필요한 웹 메서드 허용 | 일반공통 |
| 040 | WEB/MOB/HTS | 서비스 보호 | 관리자 페이지 노출 여부 | 일반공통 |
| 041 | WEB/MOB/HTS | 서비스 보호 | 불필요한 파일 노출 여부 | 일반공통 |
| 042 | WEB/MOB | 서비스 보호 | 크로스 사이트 스크립팅 (XSS) | 일반공통 |
| 043 | WEB/MOB | 서비스 보호 | 서버 사이드 요청 위조 (SSRF) | 일반공통 |
| 044 | WEB/MOB/HTS | 서비스 보호 | 세션정보 재사용 | 일반공통 |
| 045 | WEB/MOB/HTS | 서비스 보호 | 인증수단 소유자 검증 여부 | 일반공통 |
| 046 | MOB | 서비스 보호 | 모바일 DeepLink 도용 취약점 | 일반공통 |
| 047 | WEB/MOB/HTS | 이용자 인증 | 이용자 인증정보 재사용 | 일반공통 |
| 048 | WEB/MOB/HTS | 이용자 인증 | 고정된 인증정보 이용 | 일반공통 |
| 049 | WEB/MOB/HTS | 이용자 인증 | 유추가능한 인증정보 이용 | 일반공통 |
| 050 | WEB/MOB/HTS | 이용자 인증 | 유추가능한 초기화 비밀번호 이용 | 일반공통 |
| 051 | WEB/MOB | 이용자 인증 | 유추 가능한 세션ID | 일반공통 |
| 052 | WEB/MOB | 이용자 인증 | 쿠키변조 | 일반공통 |
| 053 | WEB/MOB/HTS | 이용자 인증 | 인증 오류 횟수 제한기능 제공 여부 | 일반공통 |
| 054 | WEB/MOB/HTS | 이용자 인증 | 불충분한 세션종료 처리 | 일반공통 |
| 055(추가됨) | WEB/MOB/HTS | 단말 보안 | 통신구간 암호화 적용 여부 | 일반공통 |
| 056(추가됨) | WEB/MOB/HTS | 서비스 보호 | 서버 사이드 템플릿 인젝션(SSTI) | 일반공통 |
| (삭제됨) | WEB/MOB/HTS | 거래정보 검증 | [전자금융] 사전에 정한 조회기간 이상으로 거래내역 조회가능 여부 | 전자금융 |
| (삭제됨) | WEB/MOB/HTS | 단말 보안 | [전자금융] 통신구간 암호화 적용 여부 | 전자금융 |
| (삭제됨) | WEB/MOB/HTS | 데이터 보호 | 데이터 평문전송 | 일반공통 |
📍 '[전자금융] 단말기 브라우저 영역 내에서의 중요정보 노출' 항목 또한 2024년부터 삭제되었으나 기존 취약점 점검 항목에 포함되어 있지 않아 표시되어 있지 않다.
직접 엑셀로 취약점 점검 기준을 제작한거라 오류가 있을 수 있습니다.
수정해야 할 부분이 있으면 언제든지 댓글로 알려주세요.
Cloud Engineer & BackEnd Developer