금융감독원은 안정성과 신뢰성을 확보하기 위해 매년 전자금융기반시설 보안 취약점(WEB/MOB/HTS) 평가기준 정리와 수정을 실시한다. 개정된 2024년도 전자금융기반시설 보안 취약점 평가기준을 살펴보자.
웹은 10가지, 모바일 11개, HTS 6개 항목이 개정되었다.
출처 : 24년도 전자금융기반시설 보안 취약점 평가기준 설명회
보안 취약점 가이드는 아래를 참고하였다.
금융보안원 보안평가기술팀
KISA 모바일 대민서비스 보안취약점 점검 가이드
주요정보통신기반시설 기술적 취약점 분석, 평가 방법 상세 가이드
금융감독원 점검 가이드
**임의의 기준으로 작성한 취약점 점검 기준으로, 가이드와 상이할 수 있습니다.
No | 대상 | 점검 분류 | 평가 항목 | 전자금융분류 |
---|---|---|---|---|
001 | WEB/MOB/HTS | 거래 인증 | [전자금융] 거래 인증수단 검증 오류 | 전자금융 |
002 | WEB/MOB/HTS | 거래 인증 | [전자금융] 비밀번호 변경 시 본인확인 절차 실시 여부 | 전자금융 |
003 | WEB/MOB/HTS | 거래 인증 | [전자금융] 비밀번호 변경 시 이전 비밀번호 재사용 여부 | 전자금융 |
004 | WEB/MOB/HTS | 거래 인증 | [전자금융] 접근매체 발급 시 실명확인 수행 여부 | 전자금융 |
005 | WEB/MOB/HTS | 거래정보 검증 | [전자금융] 거래정보 무결성 검증 | 전자금융 |
006 | WEB/MOB/HTS | 거래정보 검증 | [전자금융] 거래정보 재사용 | 전자금융 |
007 | WEB/MOB/HTS | 거래정보 검증 | [전자금융] 거래시 소유주 확인 여부 | 전자금융 |
008 | WEB/MOB/HTS | 거래정보 검증 | [전자금융] 사전에 정한 조회기간 이상으로 거래내역 조회가능 여부 | 전자금융 |
009 | MOB | 단말 보안 | [전자금융] OS 변조 탐지 기능 적용 여부 | 전자금융 |
010 | MOB | 단말 보안 | [전자금융] 악성코드 방지 | 전자금융 |
011 | WEB/MOB/HTS | 단말 보안 | [전자금융] 이용자 입력정보 보호 | 전자금융 |
012 | MOB/HTS | 단말 보안 | [전자금융] 프로그램 무결성 검증 | 전자금융 |
013 | MOB/HTS | 단말 보안 | [전자금융] 소스코드 난독화 적용 여부 | 전자금융 |
014 | MOB/HTS | 단말 보안 | [전자금융] 디버깅 탐지기능 적용 여부 | 전자금융 |
015 | WEB/MOB/HTS | 단말 보안 | [전자금융] 통신구간 암호화 적용 여부 | 전자금융 |
016 | MOB/HTS | 단말 보안 | 단말기 내 중요정보 저장 여부 | 일반공통 |
017 | MOB/HTS | 단말 보안 | 메모리 내 중요정보 노출 여부 | 일반공통 |
018 | MOB/HTS | 단말 보안 | 화면 내 중요정보 평문노출 여부 | 일반공통 |
019 | MOB | 단말 보안 | 앱 소스코드 내 운영정보 노출 여부 | 일반공통 |
020 | MOB | 단말 보안 | 화면 강제실행에 의한 인증단계 우회 | 일반공통 |
021 | MOB | 단말 보안 | 디버그 로그 내 중요정보 노출 여부 | 일반공통 |
022 | MOB | 단말 보안 | 백그라운드 화면 보호 | 일반공통 |
023 | WEB/MOB/HTS | 데이터 보호 | 데이터 평문전송 | 일반공통 |
024 | WEB/MOB | 데이터 보호 | 취약한 HTTPS 프로토콜 이용 | 일반공통 |
025 | WEB/MOB | 데이터 보호 | 취약한 HTTPS 암호 알고리즘 이용 | 일반공통 |
026 | WEB/MOB | 데이터 보호 | 취약한 HTTPS 컴포넌트 사용 | 일반공통 |
027 | WEB/MOB | 데이터 보호 | 취약한 HTTPS 재협상 허용 | 일반공통 |
028 | WEB/MOB/HTS | 서비스 보호 | SQL Injection | 일반공통 |
029 | WEB/MOB/HTS | 서비스 보호 | 악성파일 업로드 | 일반공통 |
030 | WEB/MOB/HTS | 서비스 보호 | 부적절한 이용자 인가 여부 | 일반공통 |
031 | WEB/MOB/HTS | 서비스 보호 | 파일 다운로드 | 일반공통 |
032 | WEB/MOB/HTS | 서비스 보호 | 외부사이트에 의한 시스템 운영정보 노출 여부 | 일반공통 |
033 | WEB/MOB/HTS | 서비스 보호 | 운영체제 명령실행 | 일반공통 |
034 | WEB/MOB/HTS | 서비스 보호 | XML 외부객체 공격 (XXE) | 일반공통 |
035 | WEB/MOB | 서비스 보호 | 리다이렉트 기능을 이용한 피싱 공격 | 일반공통 |
036 | WEB/MOB/HTS | 서비스 보호 | 불충분한 이용자 인증 | 일반공통 |
037 | WEB/MOB/HTS | 서비스 보호 | 자동화공격 | 일반공통 |
038 | WEB/MOB | 서비스 보호 | 크로스사이트 요청변조 (CSRF) | 일반공통 |
039 | WEB/MOB | 서비스 보호 | 디렉토리 목록 노출 | 일반공통 |
040 | WEB/MOB | 서비스 보호 | 서버 인증서 무결성 검증 | 일반공통 |
041 | WEB/MOB/HTS | 서비스 보호 | 시스템 운영정보 노출 여부 | 일반공통 |
042 | WEB/MOB | 서비스 보호 | 불필요한 웹 메서드 허용 | 일반공통 |
043 | WEB/MOB/HTS | 서비스 보호 | 관리자 페이지 노출 여부 | 일반공통 |
044 | WEB/MOB/HTS | 서비스 보호 | 불필요한 파일 노출 여부 | 일반공통 |
045 | WEB/MOB | 서비스 보호 | 크로스 사이트 스크립팅 (XSS) | 일반공통 |
046 | WEB/MOB | 서비스 보호 | 서버 사이드 요청 위조 (SSRF) | 일반공통 |
047 | WEB/MOB/HTS | 서비스 보호 | 세션정보 재사용 | 일반공통 |
048 | WEB/MOB/HTS | 서비스 보호 | 인증수단 소유자 검증 여부 | 일반공통 |
049 | MOB | 서비스 보호 | 모바일 DeepLink 도용 취약점 | 일반공통 |
050 | WEB/MOB/HTS | 이용자 인증 | 이용자 인증정보 재사용 | 일반공통 |
051 | WEB/MOB/HTS | 이용자 인증 | 고정된 인증정보 이용 | 일반공통 |
052 | WEB/MOB/HTS | 이용자 인증 | 유추가능한 인증정보 이용 | 일반공통 |
053 | WEB/MOB/HTS | 이용자 인증 | 유추가능한 초기화 비밀번호 이용 | 일반공통 |
054 | WEB/MOB | 이용자 인증 | 유추 가능한 세션ID | 일반공통 |
055 | WEB/MOB | 이용자 인증 | 쿠키변조 | 일반공통 |
056 | WEB/MOB/HTS | 이용자 인증 | 인증 오류 횟수 제한기능 제공 여부 | 일반공통 |
057 | WEB/MOB/HTS | 이용자 인증 | 불충분한 세션종료 처리 | 일반공통 |
아래의 2개의 항목이 추가되고 4개의 항목이 삭제되었다.
또한 9개 항목이 점검 기준이 개정되었다.
No | 대상 | 점검 분류 | 평가 항목 | 전자금융분류 |
---|---|---|---|---|
001 | WEB/MOB/HTS | 거래 인증 | [전자금융] 거래 인증수단 검증 오류 | 전자금융 |
002 | WEB/MOB/HTS | 거래 인증 | [전자금융] 비밀번호 변경 시 본인확인 절차 실시 여부 | 전자금융 |
003 | WEB/MOB/HTS | 거래 인증 | [전자금융] 비밀번호 변경 시 이전 비밀번호 재사용 여부 | 전자금융 |
004 | WEB/MOB/HTS | 거래 인증 | [전자금융] 접근매체 발급 시 실명확인 수행 여부 | 전자금융 |
005 | WEB/MOB/HTS | 거래정보 검증 | [전자금융] 거래정보 무결성 검증 | 전자금융 |
006 | WEB/MOB/HTS | 거래정보 검증 | [전자금융] 거래정보 재사용 | 전자금융 |
007 | WEB/MOB/HTS | 거래정보 검증 | [전자금융] 거래시 소유주 확인 여부 | 전자금융 |
008 | MOB | 단말 보안 | [전자금융] OS 변조 탐지 기능 적용 여부 | 전자금융 |
009 | MOB | 단말 보안 | [전자금융] 악성코드 방지 | 전자금융 |
010 | WEB/MOB/HTS | 단말 보안 | [전자금융] 이용자 입력정보 보호 | 전자금융 |
011 | MOB/HTS | 단말 보안 | [전자금융] 프로그램 무결성 검증 | 전자금융 |
012 | MOB/HTS | 단말 보안 | [전자금융] 소스코드 난독화 적용 여부 | 전자금융 |
013 | MOB/HTS | 단말 보안 | [전자금융] 디버깅 탐지기능 적용 여부 | 전자금융 |
014 | MOB/HTS | 단말 보안 | 단말기 내 중요정보 저장 여부 | 일반공통 |
015 | MOB/HTS | 단말 보안 | 메모리 내 중요정보 노출 여부 | 일반공통 |
016 | MOB/HTS | 단말 보안 | 화면 내 중요정보 평문노출 여부 | 일반공통 |
017 | MOB | 단말 보안 | 앱 소스코드 내 운영정보 노출 여부 | 일반공통 |
018 | MOB | 단말 보안 | 화면 강제실행에 의한 인증단계 우회 | 일반공통 |
019 | MOB | 단말 보안 | 디버그 로그 내 중요정보 노출 여부 | 일반공통 |
020 | MOB | 단말 보안 | 백그라운드 화면 보호 | 일반공통 |
021 | WEB/MOB | 데이터 보호 | 취약한 HTTPS 프로토콜 이용 | 일반공통 |
022 | WEB/MOB | 데이터 보호 | 취약한 HTTPS 암호 알고리즘 이용 | 일반공통 |
023 | WEB/MOB | 데이터 보호 | 취약한 HTTPS 컴포넌트 사용 | 일반공통 |
024 | WEB/MOB | 데이터 보호 | 취약한 HTTPS 재협상 허용 | 일반공통 |
025 | WEB/MOB/HTS | 서비스 보호 | SQL Injection | 일반공통 |
026 | WEB/MOB/HTS | 서비스 보호 | 악성파일 업로드 | 일반공통 |
027 | WEB/MOB/HTS | 서비스 보호 | 부적절한 이용자 인가 여부 | 일반공통 |
028 | WEB/MOB/HTS | 서비스 보호 | 파일 다운로드 | 일반공통 |
029 | WEB/MOB/HTS | 서비스 보호 | 외부사이트에 의한 시스템 운영정보 노출 여부 | 일반공통 |
030 | WEB/MOB/HTS | 서비스 보호 | 운영체제 명령실행 | 일반공통 |
031 | WEB/MOB/HTS | 서비스 보호 | XML 외부객체 공격 (XXE) | 일반공통 |
032 | WEB/MOB | 서비스 보호 | 리다이렉트 기능을 이용한 피싱 공격 | 일반공통 |
033 | WEB/MOB/HTS | 서비스 보호 | 불충분한 이용자 인증 | 일반공통 |
034 | WEB/MOB/HTS | 서비스 보호 | 자동화공격 | 일반공통 |
035 | WEB/MOB | 서비스 보호 | 크로스사이트 요청변조 (CSRF) | 일반공통 |
036 | WEB/MOB | 서비스 보호 | 디렉토리 목록 노출 | 일반공통 |
037 | WEB/MOB | 서비스 보호 | 서버 인증서 무결성 검증 | 일반공통 |
038 | WEB/MOB/HTS | 서비스 보호 | 시스템 운영정보 노출 여부 | 일반공통 |
039 | WEB/MOB | 서비스 보호 | 불필요한 웹 메서드 허용 | 일반공통 |
040 | WEB/MOB/HTS | 서비스 보호 | 관리자 페이지 노출 여부 | 일반공통 |
041 | WEB/MOB/HTS | 서비스 보호 | 불필요한 파일 노출 여부 | 일반공통 |
042 | WEB/MOB | 서비스 보호 | 크로스 사이트 스크립팅 (XSS) | 일반공통 |
043 | WEB/MOB | 서비스 보호 | 서버 사이드 요청 위조 (SSRF) | 일반공통 |
044 | WEB/MOB/HTS | 서비스 보호 | 세션정보 재사용 | 일반공통 |
045 | WEB/MOB/HTS | 서비스 보호 | 인증수단 소유자 검증 여부 | 일반공통 |
046 | MOB | 서비스 보호 | 모바일 DeepLink 도용 취약점 | 일반공통 |
047 | WEB/MOB/HTS | 이용자 인증 | 이용자 인증정보 재사용 | 일반공통 |
048 | WEB/MOB/HTS | 이용자 인증 | 고정된 인증정보 이용 | 일반공통 |
049 | WEB/MOB/HTS | 이용자 인증 | 유추가능한 인증정보 이용 | 일반공통 |
050 | WEB/MOB/HTS | 이용자 인증 | 유추가능한 초기화 비밀번호 이용 | 일반공통 |
051 | WEB/MOB | 이용자 인증 | 유추 가능한 세션ID | 일반공통 |
052 | WEB/MOB | 이용자 인증 | 쿠키변조 | 일반공통 |
053 | WEB/MOB/HTS | 이용자 인증 | 인증 오류 횟수 제한기능 제공 여부 | 일반공통 |
054 | WEB/MOB/HTS | 이용자 인증 | 불충분한 세션종료 처리 | 일반공통 |
055(추가됨) | WEB/MOB/HTS | 단말 보안 | 통신구간 암호화 적용 여부 | 일반공통 |
056(추가됨) | WEB/MOB/HTS | 서비스 보호 | 서버 사이드 템플릿 인젝션(SSTI) | 일반공통 |
(삭제됨) | WEB/MOB/HTS | 거래정보 검증 | [전자금융] 사전에 정한 조회기간 이상으로 거래내역 조회가능 여부 | 전자금융 |
(삭제됨) | WEB/MOB/HTS | 단말 보안 | [전자금융] 통신구간 암호화 적용 여부 | 전자금융 |
(삭제됨) | WEB/MOB/HTS | 데이터 보호 | 데이터 평문전송 | 일반공통 |
📍 '[전자금융] 단말기 브라우저 영역 내에서의 중요정보 노출' 항목 또한 2024년부터 삭제되었으나 기존 취약점 점검 항목에 포함되어 있지 않아 표시되어 있지 않다.
직접 엑셀로 취약점 점검 기준을 제작한거라 오류가 있을 수 있습니다.
수정해야 할 부분이 있으면 언제든지 댓글로 알려주세요.