[모의해킹]전자금융기반시설 보안 취약점(WEB/MOB/HTS) 평가기준정리_2024년도

cielo ru·2024년 7월 8일
0

모의해킹

목록 보기
2/14
post-thumbnail

➰ 서론

금융감독원은 안정성과 신뢰성을 확보하기 위해 매년 전자금융기반시설 보안 취약점(WEB/MOB/HTS) 평가기준 정리와 수정을 실시한다. 개정된 2024년도 전자금융기반시설 보안 취약점 평가기준을 살펴보자.

➰ 2024년도 평가기준 개정결과

웹은 10가지, 모바일 11개, HTS 6개 항목이 개정되었다.


출처 : 24년도 전자금융기반시설 보안 취약점 평가기준 설명회

➰ 가이드

보안 취약점 가이드는 아래를 참고하였다.

  1. 금융보안원 보안평가기술팀

  2. KISA 모바일 대민서비스 보안취약점 점검 가이드

  3. 주요정보통신기반시설 기술적 취약점 분석, 평가 방법 상세 가이드

  4. 금융감독원 점검 가이드


➰ 전자금융기반시설 보안 취약점 평가기준(기존)

**임의의 기준으로 작성한 취약점 점검 기준으로, 가이드와 상이할 수 있습니다.

No대상점검 분류평가 항목전자금융분류
001WEB/MOB/HTS거래 인증[전자금융] 거래 인증수단 검증 오류전자금융
002WEB/MOB/HTS거래 인증[전자금융] 비밀번호 변경 시 본인확인 절차 실시 여부전자금융
003WEB/MOB/HTS거래 인증[전자금융] 비밀번호 변경 시 이전 비밀번호 재사용 여부전자금융
004WEB/MOB/HTS거래 인증[전자금융] 접근매체 발급 시 실명확인 수행 여부전자금융
005WEB/MOB/HTS거래정보 검증[전자금융] 거래정보 무결성 검증전자금융
006WEB/MOB/HTS거래정보 검증[전자금융] 거래정보 재사용전자금융
007WEB/MOB/HTS거래정보 검증[전자금융] 거래시 소유주 확인 여부전자금융
008WEB/MOB/HTS거래정보 검증[전자금융] 사전에 정한 조회기간 이상으로 거래내역 조회가능 여부전자금융
009MOB단말 보안[전자금융] OS 변조 탐지 기능 적용 여부전자금융
010MOB단말 보안[전자금융] 악성코드 방지전자금융
011WEB/MOB/HTS단말 보안[전자금융] 이용자 입력정보 보호전자금융
012MOB/HTS단말 보안[전자금융] 프로그램 무결성 검증전자금융
013MOB/HTS단말 보안[전자금융] 소스코드 난독화 적용 여부전자금융
014MOB/HTS단말 보안[전자금융] 디버깅 탐지기능 적용 여부전자금융
015WEB/MOB/HTS단말 보안[전자금융] 통신구간 암호화 적용 여부전자금융
016MOB/HTS단말 보안단말기 내 중요정보 저장 여부일반공통
017MOB/HTS단말 보안메모리 내 중요정보 노출 여부일반공통
018MOB/HTS단말 보안화면 내 중요정보 평문노출 여부일반공통
019MOB단말 보안앱 소스코드 내 운영정보 노출 여부일반공통
020MOB단말 보안화면 강제실행에 의한 인증단계 우회일반공통
021MOB단말 보안디버그 로그 내 중요정보 노출 여부일반공통
022MOB단말 보안백그라운드 화면 보호일반공통
023WEB/MOB/HTS데이터 보호데이터 평문전송일반공통
024WEB/MOB데이터 보호취약한 HTTPS 프로토콜 이용일반공통
025WEB/MOB데이터 보호취약한 HTTPS 암호 알고리즘 이용일반공통
026WEB/MOB데이터 보호취약한 HTTPS 컴포넌트 사용일반공통
027WEB/MOB데이터 보호취약한 HTTPS 재협상 허용일반공통
028WEB/MOB/HTS서비스 보호SQL Injection일반공통
029WEB/MOB/HTS서비스 보호악성파일 업로드일반공통
030WEB/MOB/HTS서비스 보호부적절한 이용자 인가 여부일반공통
031WEB/MOB/HTS서비스 보호파일 다운로드일반공통
032WEB/MOB/HTS서비스 보호외부사이트에 의한 시스템 운영정보 노출 여부일반공통
033WEB/MOB/HTS서비스 보호운영체제 명령실행일반공통
034WEB/MOB/HTS서비스 보호XML 외부객체 공격 (XXE)일반공통
035WEB/MOB서비스 보호리다이렉트 기능을 이용한 피싱 공격일반공통
036WEB/MOB/HTS서비스 보호불충분한 이용자 인증일반공통
037WEB/MOB/HTS서비스 보호자동화공격일반공통
038WEB/MOB서비스 보호크로스사이트 요청변조 (CSRF)일반공통
039WEB/MOB서비스 보호디렉토리 목록 노출일반공통
040WEB/MOB서비스 보호서버 인증서 무결성 검증일반공통
041WEB/MOB/HTS서비스 보호시스템 운영정보 노출 여부일반공통
042WEB/MOB서비스 보호불필요한 웹 메서드 허용일반공통
043WEB/MOB/HTS서비스 보호관리자 페이지 노출 여부일반공통
044WEB/MOB/HTS서비스 보호불필요한 파일 노출 여부일반공통
045WEB/MOB서비스 보호크로스 사이트 스크립팅 (XSS)일반공통
046WEB/MOB서비스 보호서버 사이드 요청 위조 (SSRF)일반공통
047WEB/MOB/HTS서비스 보호세션정보 재사용일반공통
048WEB/MOB/HTS서비스 보호인증수단 소유자 검증 여부일반공통
049MOB서비스 보호모바일 DeepLink 도용 취약점일반공통
050WEB/MOB/HTS이용자 인증이용자 인증정보 재사용일반공통
051WEB/MOB/HTS이용자 인증고정된 인증정보 이용일반공통
052WEB/MOB/HTS이용자 인증유추가능한 인증정보 이용일반공통
053WEB/MOB/HTS이용자 인증유추가능한 초기화 비밀번호 이용일반공통
054WEB/MOB이용자 인증유추 가능한 세션ID일반공통
055WEB/MOB이용자 인증쿠키변조일반공통
056WEB/MOB/HTS이용자 인증인증 오류 횟수 제한기능 제공 여부일반공통
057WEB/MOB/HTS이용자 인증불충분한 세션종료 처리일반공통

➰ 전자금융기반시설 보안 취약점 평가기준(2024년도) 개정 후

아래의 2개의 항목이 추가되고 4개의 항목이 삭제되었다.
또한 9개 항목이 점검 기준이 개정되었다.

No대상점검 분류평가 항목전자금융분류
001WEB/MOB/HTS거래 인증[전자금융] 거래 인증수단 검증 오류전자금융
002WEB/MOB/HTS거래 인증[전자금융] 비밀번호 변경 시 본인확인 절차 실시 여부전자금융
003WEB/MOB/HTS거래 인증[전자금융] 비밀번호 변경 시 이전 비밀번호 재사용 여부전자금융
004WEB/MOB/HTS거래 인증[전자금융] 접근매체 발급 시 실명확인 수행 여부전자금융
005WEB/MOB/HTS거래정보 검증[전자금융] 거래정보 무결성 검증전자금융
006WEB/MOB/HTS거래정보 검증[전자금융] 거래정보 재사용전자금융
007WEB/MOB/HTS거래정보 검증[전자금융] 거래시 소유주 확인 여부전자금융
008MOB단말 보안[전자금융] OS 변조 탐지 기능 적용 여부전자금융
009MOB단말 보안[전자금융] 악성코드 방지전자금융
010WEB/MOB/HTS단말 보안[전자금융] 이용자 입력정보 보호전자금융
011MOB/HTS단말 보안[전자금융] 프로그램 무결성 검증전자금융
012MOB/HTS단말 보안[전자금융] 소스코드 난독화 적용 여부전자금융
013MOB/HTS단말 보안[전자금융] 디버깅 탐지기능 적용 여부전자금융
014MOB/HTS단말 보안단말기 내 중요정보 저장 여부일반공통
015MOB/HTS단말 보안메모리 내 중요정보 노출 여부일반공통
016MOB/HTS단말 보안화면 내 중요정보 평문노출 여부일반공통
017MOB단말 보안앱 소스코드 내 운영정보 노출 여부일반공통
018MOB단말 보안화면 강제실행에 의한 인증단계 우회일반공통
019MOB단말 보안디버그 로그 내 중요정보 노출 여부일반공통
020MOB단말 보안백그라운드 화면 보호일반공통
021WEB/MOB데이터 보호취약한 HTTPS 프로토콜 이용일반공통
022WEB/MOB데이터 보호취약한 HTTPS 암호 알고리즘 이용일반공통
023WEB/MOB데이터 보호취약한 HTTPS 컴포넌트 사용일반공통
024WEB/MOB데이터 보호취약한 HTTPS 재협상 허용일반공통
025WEB/MOB/HTS서비스 보호SQL Injection일반공통
026WEB/MOB/HTS서비스 보호악성파일 업로드일반공통
027WEB/MOB/HTS서비스 보호부적절한 이용자 인가 여부일반공통
028WEB/MOB/HTS서비스 보호파일 다운로드일반공통
029WEB/MOB/HTS서비스 보호외부사이트에 의한 시스템 운영정보 노출 여부일반공통
030WEB/MOB/HTS서비스 보호운영체제 명령실행일반공통
031WEB/MOB/HTS서비스 보호XML 외부객체 공격 (XXE)일반공통
032WEB/MOB서비스 보호리다이렉트 기능을 이용한 피싱 공격일반공통
033WEB/MOB/HTS서비스 보호불충분한 이용자 인증일반공통
034WEB/MOB/HTS서비스 보호자동화공격일반공통
035WEB/MOB서비스 보호크로스사이트 요청변조 (CSRF)일반공통
036WEB/MOB서비스 보호디렉토리 목록 노출일반공통
037WEB/MOB서비스 보호서버 인증서 무결성 검증일반공통
038WEB/MOB/HTS서비스 보호시스템 운영정보 노출 여부일반공통
039WEB/MOB서비스 보호불필요한 웹 메서드 허용일반공통
040WEB/MOB/HTS서비스 보호관리자 페이지 노출 여부일반공통
041WEB/MOB/HTS서비스 보호불필요한 파일 노출 여부일반공통
042WEB/MOB서비스 보호크로스 사이트 스크립팅 (XSS)일반공통
043WEB/MOB서비스 보호서버 사이드 요청 위조 (SSRF)일반공통
044WEB/MOB/HTS서비스 보호세션정보 재사용일반공통
045WEB/MOB/HTS서비스 보호인증수단 소유자 검증 여부일반공통
046MOB서비스 보호모바일 DeepLink 도용 취약점일반공통
047WEB/MOB/HTS이용자 인증이용자 인증정보 재사용일반공통
048WEB/MOB/HTS이용자 인증고정된 인증정보 이용일반공통
049WEB/MOB/HTS이용자 인증유추가능한 인증정보 이용일반공통
050WEB/MOB/HTS이용자 인증유추가능한 초기화 비밀번호 이용일반공통
051WEB/MOB이용자 인증유추 가능한 세션ID일반공통
052WEB/MOB이용자 인증쿠키변조일반공통
053WEB/MOB/HTS이용자 인증인증 오류 횟수 제한기능 제공 여부일반공통
054WEB/MOB/HTS이용자 인증불충분한 세션종료 처리일반공통
055(추가됨)WEB/MOB/HTS단말 보안통신구간 암호화 적용 여부일반공통
056(추가됨)WEB/MOB/HTS서비스 보호서버 사이드 템플릿 인젝션(SSTI)일반공통
(삭제됨)WEB/MOB/HTS거래정보 검증[전자금융] 사전에 정한 조회기간 이상으로 거래내역 조회가능 여부전자금융
(삭제됨)WEB/MOB/HTS단말 보안[전자금융] 통신구간 암호화 적용 여부전자금융
(삭제됨)WEB/MOB/HTS데이터 보호데이터 평문전송일반공통

📍 '[전자금융] 단말기 브라우저 영역 내에서의 중요정보 노출' 항목 또한 2024년부터 삭제되었으나 기존 취약점 점검 항목에 포함되어 있지 않아 표시되어 있지 않다.


직접 엑셀로 취약점 점검 기준을 제작한거라 오류가 있을 수 있습니다.
수정해야 할 부분이 있으면 언제든지 댓글로 알려주세요.

profile
Cloud Engineer & BackEnd Developer

0개의 댓글