전자금융기반시설 취약점 분석 평가 점검 기준(웹/모바일) 분류_2025년 기준

NO	구분	전자금융기반시설 항목	점검 분류	비고
1	(전자금융) 거래 인증	[전자금융] 거래 인증수단 검증 오류	웹/앱/HTS	결제 기능 대상 (전자금융 대상)
2	(전자금융) 거래정보 검증	[전자금융] 거래정보 무결성 검증	웹/앱/HTS	결제 기능 대상 (전자금융 대상)
3	(전자금융) 거래정보 검증	[전자금융] 거래정보 재사용	웹/앱/HTS	결제 기능 대상 (전자금융 대상)
4	(전자금융) 거래정보 검증	[전자금융] 거래시 소유주 확인 여부	웹/앱/HTS	결제 기능 대상 (전자금융 대상)
5	(전자금융) 거래 인증	[전자금융] 비밀번호 변경 시 본인확인 절차 실시 여부	웹/앱/HTS	결제 기능 대상 (전자금융 대상)
6	(전자금융) 거래 인증	[전자금융] 비밀번호 변경 시 이전 비밀번호 재사용 여부	웹/앱/HTS	결제 기능 대상 (전자금융 대상)
7	(전자금융) 단말 보안	[전자금융] OS 변조 탐지 기능 적용 여부	앱	결제 기능 대상 (전자금융 대상)
8	(전자금융) 단말 보안	[전자금융] 악성코드 방지	앱	결제 기능 대상 (전자금융 대상)
9	(전자금융) 단말 보안	[전자금융] 보안프로그램 최초 설치 시 미동작으로 설정	HTS	결제 기능 대상 (전자금융 대상)
10	(전자금융) 단말 보안	[전자금융] 보안프로그램 임의해제 가능 여부	HTS	결제 기능 대상 (전자금융 대상)
11	(전자금융) 단말 보안	[전자금융] 프로그램 실행 명령줄(Command Line) 내 중요정보 평문 노출 여부	HTS	결제 기능 대상 (전자금융 대상)
12	(전자금융) 단말 보안	[전자금융] HTS 구동시 실행 파라미터 재사용 가능 여부	HTS	결제 기능 대상 (전자금융 대상)
13	(전자금융) 단말 보안	[전자금융] 이용자 입력정보 보호	웹/앱/HTS	결제 기능 대상 (전자금융 대상)
14	(전자금융) 단말 보안	[전자금융] 프로그램 무결성 검증	앱/HTS	결제 기능 대상 (전자금융 대상)
15	(전자금융) 단말 보안	[전자금융] 소스코드 난독화 적용 여부	앱/HTS	결제 기능 대상 (전자금융 대상)
16	(전자금융) 단말 보안	[전자금융] 디버깅 탐지기능 적용 여부	앱/HTS	결제 기능 대상 (전자금융 대상)
17	(전자금융) 단말 보안	[전자금융] 보안프로그램 구동시(최초) 최신 업데이트 미수행	HTS	결제 기능 대상 (전자금융 대상)
18	(전자금융) 거래 인증	[전자금융] 접근매체 발급 시 실명확인 수행 여부	웹/앱/HTS	결제 기능 대상 (전자금융 대상)
19	(일반공통) 서비스 보호	SQL Injection	웹/앱/HTS
20	(일반공통) 서비스 보호	악성파일 업로드	웹/앱/HTS	업로드 기능 대상 (강제 업로드 기능 포함)
21	(일반공통) 서비스 보호	부적절한 이용자 인가 여부	웹/앱/HTS
22	(일반공통) 이용자 인증	이용자 인증정보 재사용	웹/앱/HTS
23	(일반공통) 이용자 인증	고정된 인증정보 이용	웹/앱/HTS
24	(일반공통) 이용자 인증	유추가능한 인증정보 이용	웹/앱/HTS
25	(일반공통) 이용자 인증	유추가능한 초기화 비밀번호 이용	웹/앱/HTS
26	(일반공통) 단말 보안	단말기 내 중요정보 저장 여부	앱/HTS
27	(일반공통) 단말 보안	메모리 내 중요정보 노출 여부	앱/HTS
28	(일반공통) 서비스 보호	파일 다운로드	웹/앱/HTS	다운로드 기능 대상 (강제 다운로드 시도 포함)
29	(일반공통) 서비스 보호	외부사이트에 의한 시스템 운영정보 노출 여부	웹/앱/HTS
30	(일반공통) 이용자 인증	유추 가능한 세션ID	웹/앱
31	(일반공통) 이용자 인증	쿠키변조	웹/앱
32	(일반공통) 서비스 보호	운영체제 명령실행	웹/앱/HTS
33	(일반공통) 서비스 보호	XML 외부객체 공격 (XXE)	웹/앱/HTS
34	(일반공통) 서비스 보호	리다이렉트 기능을 이용한 피싱 공격	웹/앱
35	(일반공통) 서비스 보호	LDAP Injection	웹
36	(일반공통) 서비스 보호	SSI Injection	웹
37	(일반공통) 서비스 보호	불충분한 이용자 인증	웹/앱/HTS
38	(일반공통) 단말 보안	화면 내 중요정보 평문노출 여부	앱/HTS
39	(일반공통) 서비스 보호	무제한 요청 허용	웹/앱/HTS	기존 "자동화공격"
40	(일반공통) 서비스 보호	버퍼오버플로우 (Buffer Overflow Attack)	웹/HTS	C 언어 구현 대상
41	(일반공통) 서비스 보호	포맷스트링 (Format String Attack)	웹/HTS	C 언어 구현 대상
42	(일반공통) 데이터 보호	단말기 브라우저 영역 내에서의 중요정보 노출	웹
43	(일반공통) 단말 보안	앱 소스코드 내 운영정보 노출 여부	앱
44	(일반공통) 단말 보안	화면 강제실행에 의한 인증단계 우회	앱
45	(일반공통) 서비스 보호	크로스사이트 요청변조 (CSRF)	웹/앱
46	(일반공통) 서비스 보호	디렉토리 목록 노출	웹/앱
47	(일반공통) 서비스 보호	서버 인증서 무결성 검증	웹/앱
48	(일반공통) 서비스 보호	시스템 운영정보 노출 여부	웹/앱/HTS
49	(일반공통) 이용자 인증	인증 오류 횟수 제한기능 제공 여부	웹/앱/HTS
50	(일반공통) 이용자 인증	불충분한 세션종료 처리	웹/앱/HTS
51	(일반공통) 데이터 보호	취약한 HTTPS 프로토콜 이용	웹/앱	SSL/TLS 적용 대상
52	(일반공통) 데이터 보호	취약한 HTTPS 암호 알고리즘 이용	웹/앱	SSL/TLS 적용 대상
53	(일반공통) 데이터 보호	취약한 HTTPS 컴포넌트 사용	웹/앱	SSL/TLS 적용 대상
54	(일반공통) 데이터 보호	취약한 HTTPS 재협상 허용	웹/앱	SSL/TLS 적용 대상
55	(일반공통) 서비스 보호	불필요한 웹 메서드 허용	웹/앱
56	(일반공통) 서비스 보호	관리자 페이지 노출 여부	웹/앱/HTS
57	(일반공통) 서비스 보호	불필요한 파일 노출 여부	웹/앱/HTS
58	(일반공통) 서비스 보호	크로스 사이트 스크립팅 (XSS)	웹/앱
59	(일반공통) 단말 보안	디버그 로그 내 중요정보 노출 여부	앱
60	(일반공통) 단말 보안	백그라운드 화면 보호	앱
61	(일반공통) 서비스 보호	서버 사이드 요청 위조 (SSRF)	웹/앱
62	(일반공통) 서비스 보호	세션정보 재사용	웹/앱/HTS	평가 기준 개선
63	(일반공통) 서비스 보호	인증수단 소유자 검증 여부	웹/앱/HTS
64	(일반공통) 서비스 보호	모바일 DeepLink 도용 취약점	앱
65	(일반공통) 데이터 보호	통신구간 암호화 적용 여부	웹/앱/HTS	SSL/TLS 적용 대상
66	(일반공통) 서비스 보호	서버 사이드 템플릿 인젝션(SSTI)	웹/앱/HTS

 

※ 비고 내용은 필요에 의해 구분을 한 것으로 금융감독원의 기준과는 상이할 수 있습니다.