[금융보안원] 핀테크서비스 취약점 점검 가이드

금융보안원 클라우드대응부에서 핀테크서비스 취약점 점검 가이드를 배포 하였다

금융보안원

 

 

 

핀테크 서비스 취약점 점검 가이드라인 요약

개요 및 점검 체계

금융보안원의 「핀테크서비스 취약점 점검」 문서는 웹(4개 분야 38개 세부항목)과 모바일(5개 분야 46개 세부항목) 플랫폼별 진단 기준을 제시합니다1. 점검 유형은 ▲신규 서비스 전반을 평가하는 신규점검 ▲이전 미흡사항 재확인을 위한 재점검으로 구분되며, 플랫폼별 제출요건(웹 URL/모바일 설치파일)과 보안모듈 적용 여부에 따라 엄격한 사전 검증 절차를 요구합니다1.

웹 서비스 주요 취약점

1. 정보 노출 리스크(5대 영역)

• 메모리 누수: 간편결제 비밀번호가 Base64 인코딩 상태로 메모리 상주1
• 네트워크 전송: TLS 1.0/1.1 프로토콜 사용 시 SSL Labs 도구로 취약성 확인1
• 파일 저장: 신분증 이미지 원본 파일이 PC에 평문 저장되는 문제1

2. 거래 변조 방지

• 계좌 조작: /mypage.jsp?uid=user1→user2 패러미터 변조를 통한 타인 계좌 접근1
• 금액 조작: 음수(-) 금액 입력 시 출금 가능성 검증1

3. 서버 보안 강화

• SQL 인젝션: ' union select 1,2 -- 구문 삽입으로 데이터 유출 가능성1
• XSS 공격: <script>alert(document.cookie)</script> 삽입 시 쿠키 탈취1

모바일 앱 추가 점검사항

1. 플랫폼 특화 이슈

• iOS 스냅샷: 백그라운드 진입 시 민감정보 포함 스크린샷 자동 저장1
• 안드로이드 디버그: adb logcat을 통한 비밀번호 평문 유출1

2. 인증 체계 심층 분석

• 생체인증 우회: 패턴/비밀번호 추측 공격 가능성1
• OTP 관리: 1원 인증 횟수 제한 미비로 인한 무차별 대입1

이전 요약 대비 차별성 분석

공통점

• ▲정보 노출 방지 ▲거래 무결성 ▲서버 보안 등 핵심 영항목 일치
• 플랫폼별(웹/모바일) 차별화된 점검 기준 적용

차이점 (금융 테스트베드, 온투업자 & 오픈뱅킹 비교 )

세부항목	11개 웹/16개 모바일 항목	웹 38개/모바일 46개 세부진단 기준 제시
진단 방법	일반적 설명	구체적 공격 시나리오 예시(예: SQL 인젝션 쿼리문)
제출요건	간략한 서류 목록	ISMS-P 인증서, 확약서 등 8개 문서 상세규정
재점검 기준	보완조치 검증	항목별 차등 수수료 체계 명시

 

 

결론 및 시사점

본 문서는 ▲실제 해킹 사례 기반 구체적 진단 방법 ▲개발 환경별(운영망/테스트망) 제출요건 차이 ▲모바일 보안모듈(SSL Pinning 등) 필수 적용 기준 등을 추가로 규정함으로써 이전 가이드라인 대비 실행 가능성을 제고했습니다. 핀테크 기업은 점검 항목을 자체 보안검토 체크리스트로 활용해야 하며, 특히 모바일 앱의 경우 iOS 스냅샷 관리와 안드로이드 외부 저장소 접근 제어에 대한 기술적 대응이 시급합니다.