D-10 데이터베이스에 대해 최신 보안패치와 밴더 권고사항을 모두 적용 ■ 점검영역 : 패치관리 ■ 항목 중요도 : 상 ■ 점검내용 최신 패치 및 벤더 권고사항 적용 여부 점검 ■ 점검목적 정책에 따른 최신 보안패치 및 벤더 권고사항을 적용하여 데이터베이스의 보안성을 향상시키고자 함 ■ 보안위협 데이터베이스의 주요 보안 패치 등을 설치하지 않은 경우, 공격자가 알려진 취약점을 이용하여 데이터베이스에 접근 가능함 ■ 참고 - 점검대상 및 판단기준(데이터베이스/dbms 취약점 진단) ■ 대상 : Oracle, MSSQL, MySQL, ALTIBASE, TIBERO, PostgreSQL 등 양호 정책에 따른 버전별 최신 패치를 적용하고 내부적으로 관리 절차를 수립하여 이행하고 있는 경우 취약 정책에 따른 버전..
D-09 OS_ROLES, REMOTE_OS_AUTHENTICATION, REMOTE_OS_ROLES를 FALSE로 설정 ■ 점검영역 : 옵션관리 ■ 항목 중요도 : 상 ■ 점검내용 OS_ROLES, REMOTE_OS_AUTHENTICATION, REMOTE_OS_ROLES의 설정이 false 인지 여부를 점검 ■ 점검목적 OS_ROLES, REMOTE_OS_AUTHENTICATION, REMOTE_OS_ROLES의 설정을 점검하여 비인가자들의 데이터베이스 접근을 막고 데이터베이스 관리자에 의한 사용자 Role 설정이 가능하게 하기 위함 ■ 보안위협 OS_ROLES가 TRUE로 설정된 경우, 데이터베이스 접근 제어로 컨트롤되지 않는 OS 그룹에 의해 grant된 퍼미션이 허락됨 REMOTE_OS_ROLE..
D-11 데이터베이스의 접근, 변경, 삭제 등의 감사기록이 기관의 감사기록 정책에 적합하도록 설정 ■ 점검영역 : 패치관리 ■ 항목 중요도 : 상 ■ 점검내용 감사기록 정책 설정이 기관 정책에 적합하게 설정되어 있는지 점검 ■ 점검목적 데이터, 로그, 응용프로그램에 대한 감사 기록 정책을 수립하고 적용하여 데이터베이스에 문제 발생 시 원활하게 대응하고자 함 ■ 보안위협 감사기록 정책이 설정되어 있지 않을 경우, 데이터베이스에 문제 발생 시 원인을 규명할 수 있는 자료가 존재하지 않아 이에 대한 대처 및 개선방안 수립이 어려움 ■ 참고 - 점검대상 및 판단기준(데이터베이스/dbms 취약점 진단) ■ 대상 : Oracle, MSSQL, MySQL, ALTIBASE, TIBERO, PostgreSQL 등 양호..
D-08 응용프로그램 또는 DBA 계정의 Role이 Public으로 설정되지 않도록 설정 ■ 점검영역 : 옵션관리 ■ 항목 중요도 : 상 ■ 점검내용 응용프로그램 또는 DBA 계정의 Role을 Public으로 설정했는지를 점검 ■ 점검목적 응용프로그램 또는 DBA 계정의 Role을 점검하여 일반 계정으로 응용프로그램 테이블이나 DBA 테이블의 접근을 차단하기 위함 ■ 보안위협 응용프로그램 또는 DBA 계정의 Role이 Public으로 설정되어 있으면, 일반 계정에서도 응용프로그램 테이블 및 DBA 테이블로 접근할 수 있어 주요 정보 유출이 발생할 수 있음 ■ 참고 ※ Role: 사용자에게 허가 할 수 있는 권한들의 집합 점검대상 및 판단기준(데이터베이스/dbms 취약점 진단) ■ 대상 : Oracle, ..
D-06 DBA 이외의 인가되지 않은 사용자가 시스템 테이블에 접근할 수 없도록 설정 ■ 점검영역 : 접근관리 ■ 항목 중요도 : 상 ■ 점검내용 시스템 테이블에 일반 사용자 계정이 접근할 수 없도록 설정되어 있는지 점검 ■ 점검목적 시스템 테이블의 일반 사용자 계정 접근 제한 설정 적용 여부를 점검하여 일반 사용자 계정 유출 시 발생할 수 있는 비인가자의 시스템 테이블 접근 위험을 차단하기 위함 ■ 보안위협 시스템 테이블의 일반 사용자 계정 접근 제한 설정이 되어 있지 않을 경우 객체, 사용자, 테이블 및 뷰, 작업 내역 등의 시스템 테이블에 저장된 정보가 누출될 수 있음 ■ 참고 - 점검대상 및 판단기준(데이터베이스/dbms 취약점 진단) ■ 대상 : Oracle, MSSQL, MySQL, ALTIB..
D-02 데이터베이스의 불필요 계정을 제거하거나, 잠금설정 후 사용 ■ 점검영역 : 계정관리 ■ 항목 중요도 : 상 ■ 점검내용 DBMS에 존재하는 계정 중 DB 관리나 운용에 사용하지 않는 불필요한 계정이 존재하는지 점검 ■ 점검목적 불필요한 계정 존재 유무를 점검하여 불필요한 계정 정보(패스워드)의 유출 시 발생할 수 있는 비인가자의 DB 접근에 대비되어 있는지 확인하기 위함 ■ 보안위협 DB 관리나 운용에 사용하지 않는 불필요한 계정이 존재할 경우 비인가자가 불필요한 계정을 이용하여 DB에 접근하여 데이터를 열람, 삭제, 수정할 위험이 존재함 ■ 참고 ※ 불필요한 계정: SCOTT, PM, ADAMS, CLARK 등의 Demonstration 계정 및 퇴사나 직무 변경 등으로 더 이상 사용하지 않는..
D-05 원격에서 DB 서버로의 접속 제한 ■ 점검영역 : 접근관리 ■ 항목 중요도 : 상 ■ 점검내용 지정된 IP주소만 DB 서버에 접근 가능하도록 설정되어 있는지 점검 ■ 점검목적 지정된 IP주소만 DB 서버에 접근 가능하도록 설정되어 있는지 점검하여 비인가자의 DB 서버 접근을 원천적으로 차단하고자 함 ■ 보안위협 DB 서버 접속 시 IP주소 제한이 적용되지 않은 경우 비인가자가 내·외부망 위치에 상관없이 DB 서버에 접근할 수 있는 위험이 존재함 ■ 참고 - 점검대상 및 판단기준(데이터베이스/dbms 취약점 진단) ■ 대상 : OS, Oracle, MySQL, ALTIBASE, TIBERO, PostgreSQL 등 양호 DB서버에 지정된 IP주소에서만 접근 가능하도록 제한한 경우 취약 DB서버에 ..
D-03 패스워드의 사용기간 및 복잡도를 기관 정책에 맞도록 설정 ■ 점검영역 : 계정관리 ■ 항목 중요도 : 상 ■ 점검내용 기관 정책에 맞게 패스워드 사용기간 및 복잡도 설정이 적용되어 있는지 점검 ■ 점검목적 패스워드 사용기간 및 복잡도 설정 유무를 점검하여 비인가자의 패스워드 추측 공격(무작위 대입 공격, 사전 대입 공격 등)에 대한 대비가 되어있는지 확인하기 위함 ■ 보안위협 패스워드 사용기간 및 복잡도 설정이 되어있지 않을 경우 비인가자가 패스워드 추측 공격을 통해 획득한 계정의 패스워드를 이용하여 DB에 접근할 수 있는 위험이 존재함 ■ 참고 ※ 무작위 대입 공격(Brute Force Attack): 특정 암호를 해독하기 위해 가능한 모든 값을 대입하는 공격 방법 ※ 사전 대입 공격(Dict..
D-04 데이터베이스 관리자 권한을 꼭 필요한 계정 및 그룹에 허용 ■ 점검영역 : 계정관리 ■ 항목 중요도 : 상 ■ 점검내용 관리자 권한이 필요한 계정 및 그룹에만 관리자 권한을 부여하였는지 점검 ■ 점검목적 관리자 권한이 필요한 계정과 그룹에만 관리자 권한을 부여하였는지 점검하여 관리자 권한의 남용을 방지하여 계정 유출로 인한 비인가자의 DB접근 가능성을 최소화하고자 함 ■ 보안위협 관리자 권한이 필요한 계정 및 그룹에만 관리자 권한을 부여하지 않을 경우 관리자 권한이 부여된 계정이 비인가자에게 유출될 경우 DB에 접근할 수 있는 위험이 존재함 ■ 참고 - 점검대상 및 판단기준(데이터베이스/dbms 취약점 진단) ■ 대상 : Oracle, MSSQL, MySQL, ALTIBASE, TIBERO, P..
D-01 기본 계정의 패스워드, 정책 등을 변경하여 사용 ■ 점검영역 : 계정관리 ■ 항목 중요도 : 상 ■ 점검내용 DBMS 기본 계정의 디폴트 패스워드 및 권한 정책을 변경하여 사용하는지 점검 ■ 점검목적 DBMS 기본 계정의 디폴트 패스워드 및 권한 정책 변경 사용 유무를 점검하여 비인가자의 디폴트 패스워드 대입 공격을 차단하고 있는지 확인하기 위함 ■ 보안위협 DBMS 기본 계정 디폴트 패스워드 및 권한 정책을 변경하지 않을 경우 비인가자가 인터넷 통해 DBMS 기본 계정의 디폴트 패스워드를 획득하여 디폴트 패스워드를 그대로 사용하고 있는 DB에 접근하여 기본 계정에 부여된 권한의 취약점을 이용하여 DB 정보를 유출할 수 있는 위험이 존재함 ■ 참고 ※ 기본 계정: DB 설치 후 초기에 기본으로 ..