위치:
외부 클라이언트 앱: 모바일 앱 설정: 모바일 화면 잠금
이 제어는 사용자가 모바일 응용 프로그램 또는 장치 환경에 액세스하기 전에 성공적으로 확인해야 하는 PIN, 암호 또는 생체 인식 요소와 같은 필수 인증 메커니즘을 적용합니다.
제어 이름
외부 클라이언트 앱: 모바일 앱 설정: 화면 잠금 - 선택
권장 구성
화면 잠금 - 선택합니다.
제어 개요
이 제어는 사용자가 모바일 응용 프로그램 또는 장치 환경에 액세스하기 전에 성공적으로 확인해야 하는 PIN, 암호 또는 생체 인식 요소와 같은 필수 인증 메커니즘을 적용합니다.
구성되지 않은 경우 보안 위험
화면 잠금이 없으면 장치에 대한 물리적 액세스 권한이 있는 무단 개인이 로컬 인증을 우회하고 민감한 응용 프로그램 데이터 및 인증된 세션에 즉시 액세스할 수 있습니다.
위협 시나리오
위협 작업자는 모바일 응용 프로그램에 액세스하여 캐시된 데이터를 추출하거나, 무단 트랜잭션을 수행하거나, 측면 이동을 위해 세션 토큰을 수집하여 분실되거나 도난된 장치를 활용할 수 있습니다.
예상 CVSS 점수 범위
높음(7.0~8.9)
위험 영향 고려 사항
잠재적인 영향에는 개인 식별 정보(PII)의 무단 공개, 지적 재산권 손실, 데이터를 보호하지 못한 상태로 인해 규정을 준수하지 않는 과정이 포함됩니다.
위험이 높은 경우
응용 프로그램이 민감한 자격 증명을 로컬로 캐시하거나, 장기 교환이 빈번한 도난이 많은 환경에서 작업하는 경우, 장치에서 장기 토큰을 유지합니다.
낮은 위험 시기
응용 프로그램에서 짧은 세션 시간 제한을 사용하거나 자체 응용 프로그램 수준 재인증을 적용하거나 OS 잠금과 독립적으로 데이터를 암호화하는 Sandbox를 통해 장치를 관리하는 경우
비즈니스 및 통합 고려 사항
구현 시 모바일 장치 관리(MDM) 정책 또는 로컬 API 호출과 통합하여 장치 규정 준수 여부를 확인해야 할 수 있으며, 이는 사용자 마찰에 영향을 미칠 수 있으며 기존 하드웨어에 대한 지원 오버헤드에 영향을 미칠 수 있습니다.
권장 수정
시스템 수준 화면 잠금이 활성 상태로 확인되지 않는 한 모바일 응용 프로그램을 구성하여 운영 체제의 보안 상태를 쿼리하고 응용 프로그램 인터페이스에 대한 액세스를 제한합니다.
보안 상태 검토 지침
암호화 키가 성공적인 사용자 인증을 통해 해제될 때까지 로컬 데이터가 암호화되고 액세스할 수 없도록 하여 최소 권한 원칙에 맞춰 모바일 보안 조치를 취합니다.
