보안기능 20220811

보안기능

인증대상 및 방식

보안대책

-      중요기능이나 리소스에 대해서는 인증 후 사용 정책이 적용되어야 한다

-      안전한 인증방식을 사용하여 인증우회나 권한 상승이 발생하지 않도록 해야 한다

-      중요기능에 대해 2단계(2factor)인증을 고려해야 한다

 취약점 개요

   중요기능이나 리소르를 요청하는 경우 인증이 되었는지를 먼저 확인하지 않고 요청을 처리하는 경우

중요 절보나 리소스가 노출될 수 있다

 

설계 시 고려사항

-      중요기능이나 리소스에 대해서는 인증 후 사용정책이 적용되어야 한다.

분석단계에 분류된 중요기능에 대해 인증 후 사용 정책이 반드시 적용될 수 있도록 한다.

 

각각의 중요기능에서 인증을 요청하도록 구현하는 것이 쉽지 않다

시스템 설계 시 중요기능을 분류하고 식별된 중요기능에 대해 일괄적으로 인증을 요구하도록 시스템이 구성되도록 설계한다.

 

이 경우 직접적으로 기능과 인증을 매핑시켜 처리하는 컴포너트를 개발하거나 인증을 제공하는 프레임워크 또는 라이브러리를

활용하여 중앙집중식 인증이 적용되도록 설계한다.

 

 

-      안전한 인증방식을 사용하여 인증우회나 권한 상승이 발생하지 않도록 해야 한다.

인증정보는 서버 측에 저장하여 인증이 필요한 기능이나 리소스에 접근을 시도할 때 서버에서 인증 여부를 확인할 수 있도록 해야 한다

 

(ㄱ) 일회용 패스워드 사용 시

일회용 패스워드를 적용하는 경우 타서비스나 시스템과의 연동이 보장되도록 설계해야 한다

일회용 패스워드를 도입하는 경우 다음과 같은 규칙을 적용하여 설계한다.