1. OAuth 2.0 및 OpenID Connect 구현: OAuth 2.0 및 OpenID Connect는 오픈 뱅킹 API의 온라인 인증 및 권한 부여 프로토콜을 위한 최첨단 솔루션으로 채택되었습니다. OAuth 2.0을 사용하면 제3자가 사용자 비밀번호를 사용하지 않고도 특정 데이터에 액세스할 수 있습니다. 또한 OpenID Connect는 다른 사람이라고 주장하는 모든 사용자의 신원을 인증하기 위해 추가 단계를 수행합니다.
2. 강력한 고객 인증(SCA) 사용: PSD2 지침에서는 고객과 금융 기관의 상호 작용이 다중 요소 인증(MFA)을 통해 인증되도록 요구합니다. SCA는 고객에게 비밀번호, 보유 스마트폰, 생체인증 등을 추가로 요청합니다.
3. API 게이트웨이 및 WAF 구현: API 게이트웨이는 API 요청에 대한 API 엔드포인트 역할을 하며 항목에서 속도 제어, 트래픽 관리, 보안 정책 관리와 같은 기능을 제공할 수 있습니다. WAF(웹 애플리케이션 방화벽)는 API에 영향을 미칠 수 있는 SQL 주입 및 XSS(교차 사이트 스크립팅)와 같은 잘 알려진 웹 애플리케이션 계층 위협을 완화합니다.
4. 전송 중인 데이터와 저장 중인 데이터를 암호화합니다. API를 통해 공유되는 모든 데이터는 TLS(전송 계층 보안) 등을 사용하여 암호화되어야 합니다. 사용자 데이터를 보호해야 하는 것과 마찬가지로 API 내에 저장된 민감한 데이터도 암호화되어 저장 공간이 침해된 경우 보안을 강화해야 합니다.
5. 보안 코딩 방법을 사용하십시오. API는 입력 검증, 출력 인코딩, 오류 처리 방법과 같이 안전하게 설계되고 코딩되어야 합니다. 이는 주입 공격, 버퍼 오버플로, XSS(교차 사이트 스크립팅)와 같은 일반적인 취약성을 방지하는 데 도움이 됩니다.
6. 역할 기반 액세스 제어(RBAC) 시행: 특정 사용자 유형이 액세스할 수 있는 데이터 및/또는 기능의 양과 종류를 제한하려면 권한과 인증을 사용하십시오. 이를 통해 사용자 또는 애플리케이션은 필요하거나 확인해야 하는 데이터로만 제한되지만 다른 모든 데이터는 해당되지 않습니다.
7. 정기적으로 침투 테스트 및 취약성 평가를 수행합니다. 보안 테스트와 관련된 중요한 영역 중 하나는 API 침투 테스트를 통과하고 API 구현의 취약점을 식별하는 것입니다. 이러한 테스트는 공격자가 악용할 수 있는 취약점을 확인하기 위해 현실적으로 수행됩니다.
