D-09 OS_ROLES, REMOTE_OS_AUTHENTICATION, REMOTE_OS_ROLES를 FALSE로 설정 ■ 점검영역 : 옵션관리 ■ 항목 중요도 : 상 ■ 점검내용 OS_ROLES, REMOTE_OS_AUTHENTICATION, REMOTE_OS_ROLES의 설정이 false 인지 여부를 점검 ■ 점검목적 OS_ROLES, REMOTE_OS_AUTHENTICATION, REMOTE_OS_ROLES의 설정을 점검하여 비인가자들의 데이터베이스 접근을 막고 데이터베이스 관리자에 의한 사용자 Role 설정이 가능하게 하기 위함 ■ 보안위협 OS_ROLES가 TRUE로 설정된 경우, 데이터베이스 접근 제어로 컨트롤되지 않는 OS 그룹에 의해 grant된 퍼미션이 허락됨 REMOTE_OS_ROLE..
D-11 데이터베이스의 접근, 변경, 삭제 등의 감사기록이 기관의 감사기록 정책에 적합하도록 설정 ■ 점검영역 : 패치관리 ■ 항목 중요도 : 상 ■ 점검내용 감사기록 정책 설정이 기관 정책에 적합하게 설정되어 있는지 점검 ■ 점검목적 데이터, 로그, 응용프로그램에 대한 감사 기록 정책을 수립하고 적용하여 데이터베이스에 문제 발생 시 원활하게 대응하고자 함 ■ 보안위협 감사기록 정책이 설정되어 있지 않을 경우, 데이터베이스에 문제 발생 시 원인을 규명할 수 있는 자료가 존재하지 않아 이에 대한 대처 및 개선방안 수립이 어려움 ■ 참고 - 점검대상 및 판단기준(데이터베이스/dbms 취약점 진단) ■ 대상 : Oracle, MSSQL, MySQL, ALTIBASE, TIBERO, PostgreSQL 등 양호..
N-26 웹 서비스 차단 ■ 점검영역 : 기능 관리 ■ 항목 중요도 : 중 ■ 점검내용 네트워크 장비의 웹 서비스를 비활성화하거나 특정 IP 주소만 접근을 허용하는지 점검 웹서비스를 이용하여 네트워크 장비를 관리할 경우 허용된 IP에서만 접속할 수 있게 ACL을 적용하였는지 점검 웹서비스가 불필요(장비 관리에 사용하지 않은 경우 포함)하게 활성화 되어 있는지 점검 ■ 점검목적 허용된 IP만 웹 관리자 페이지에 접속할 수 있도록 설정하는지 점검하여 비인가자가 웹 관리자 페이지를 공격하여 네트워크 장비를 장악하지 못하도록하기 위함 ■ 보안위협 허용된 IP에서만 웹 관리자 페이지 접속을 가능하게 ACL 적용하지 않을 경우, 공격자는 알려진 웹 취약점(SQL 인젝션, 커맨드 인젝션 등)이나 자동화된 패스워드 대..
N-22 NTP 서버 연동 ■ 점검영역 : 로그관리 ■ 항목 중요도 : 중 ■ 점검내용 네트워크 장비의 NTP 서버 연동 설정 적용 여부 점검 ■ 점검목적 시스템 운영 또는 보안사고 발생으로 인한 로그 분석 과정에서 이벤트 간의 인과 관계 파악에 도움을 주고 로그 자체의 신뢰성을 갖도록 함 ■ 보안위협 시스템 간 시간 동기화 미흡으로 보안사고 및 장애 발생 시 로그에 대한 신뢰도 확보 미흡 ■ 참고 ※ IOS 12.2 이전 버전을 사용하는 장비에는 접근 통제(ACL) 설정이 되어 있어야 양호 점검대상 및 판단기준(네트워크 취약점 진단) ■ 대상 : Cisco, Alteon, Passport, Juniper, Piolink 등 양호 NTP 서버를 통한 시스템 간 실시간 시간 동기화가 설정된 경우 취약 NT..
D-08 응용프로그램 또는 DBA 계정의 Role이 Public으로 설정되지 않도록 설정 ■ 점검영역 : 옵션관리 ■ 항목 중요도 : 상 ■ 점검내용 응용프로그램 또는 DBA 계정의 Role을 Public으로 설정했는지를 점검 ■ 점검목적 응용프로그램 또는 DBA 계정의 Role을 점검하여 일반 계정으로 응용프로그램 테이블이나 DBA 테이블의 접근을 차단하기 위함 ■ 보안위협 응용프로그램 또는 DBA 계정의 Role이 Public으로 설정되어 있으면, 일반 계정에서도 응용프로그램 테이블 및 DBA 테이블로 접근할 수 있어 주요 정보 유출이 발생할 수 있음 ■ 참고 ※ Role: 사용자에게 허가 할 수 있는 권한들의 집합 점검대상 및 판단기준(데이터베이스/dbms 취약점 진단) ■ 대상 : Oracle, ..
S-24 NTP 서버 연동 ■ 점검영역 : 로그관리 ■ 항목 중요도 : 중 ■ 점검내용 보안장비의 NTP 서버 연동 설정 적용 여부 점검 ■ 점검목적 시스템 운영 또는 보안사고 발생으로 인한 로그 분석 과정에서 이벤트 간의 인과 관계 파악에 도움을 주고 로그 자체의 신뢰성을 갖도록 함 ■ 보안위협 시스템 간 시간 동기화 미흡으로 보안사고 및 장애 발생 시 로그에 대한 신뢰도 확보 미흡 ■ 참고 ※ NTP(Network Time Protocol): 네트워크를 통해 컴퓨터 시스템 간의 시간을 정확하게 유지 시켜주기 위한 네트워크 프로토콜. NTP는 1985년 RFC958로 제안된 표준으로 현재 RFC5905 NTP version 4로 대체됨 ※ https://tools.ietf.org/html/rfc5905..
N-29 CDP 서비스 차단 ■ 점검영역 : 기능관리 ■ 항목 중요도 : 중 ■ 점검내용 CDP 서비스를 차단하는지 점검 ■ 점검목적 동일 네트워크에 있는 다른 Cisco 장비들의 정보 유출 방지 및 DoS 공격을 차단하기 위함 ■ 보안위협 보안이 검증 되지 않은 서비스로, 비인가자가 다른 cisco 장비의 정보를 획득할 수 있으며, Routing Protocol Attack 을 통해 네트워크 장비의 서비스 거부 공격을 할 수 있음 ■ 참고 ※ CDP(Cisco Discovery Protocol): Cisco 제품의 관리를 목적으로 만든 프로토콜로 같은 네트워크에 있는 장비들과 정보를 공유하고, 같은 세그먼트에 있는 다른 라우터에 IOS version, Model, device 등의 정보를 제공함 점검대..
N-32 Proxy ARP 차단 ■ 점검영역 : 기능관리 ■ 항목 중요도 : 중 ■ 점검내용 Proxy ARP를 차단하는지 점검 ■ 점검목적 Proxy ARP 차단으로 IP와 MAC이 관련된 호스트에 대해 정상적인 통신을 유지함 ■ 보안위협 Proxy ARP를 차단하지 않을 경우, 악의적인 사용자가 보낸 거짓 IP와 MAC 정보를 보관하게 되며 이로 인해 호스트와 호스트 사이에서 정상적인 통신이 이루어지지 않을 수 있음 ■ 참고 ※ Proxy ARP: 동일 서브넷에서 다른 호스트를 대신하여 ARP Request에 응답하는 기술 점검대상 및 판단기준(네트워크 취약점 진단) ■ 대상 : Cisco, Alteon, Passport, Juniper, Piolink 등 양호 Proxy ARP를 차단하는 경우 취약..
D-06 DBA 이외의 인가되지 않은 사용자가 시스템 테이블에 접근할 수 없도록 설정 ■ 점검영역 : 접근관리 ■ 항목 중요도 : 상 ■ 점검내용 시스템 테이블에 일반 사용자 계정이 접근할 수 없도록 설정되어 있는지 점검 ■ 점검목적 시스템 테이블의 일반 사용자 계정 접근 제한 설정 적용 여부를 점검하여 일반 사용자 계정 유출 시 발생할 수 있는 비인가자의 시스템 테이블 접근 위험을 차단하기 위함 ■ 보안위협 시스템 테이블의 일반 사용자 계정 접근 제한 설정이 되어 있지 않을 경우 객체, 사용자, 테이블 및 뷰, 작업 내역 등의 시스템 테이블에 저장된 정보가 누출될 수 있음 ■ 참고 - 점검대상 및 판단기준(데이터베이스/dbms 취약점 진단) ■ 대상 : Oracle, MSSQL, MySQL, ALTIB..
D-02 데이터베이스의 불필요 계정을 제거하거나, 잠금설정 후 사용 ■ 점검영역 : 계정관리 ■ 항목 중요도 : 상 ■ 점검내용 DBMS에 존재하는 계정 중 DB 관리나 운용에 사용하지 않는 불필요한 계정이 존재하는지 점검 ■ 점검목적 불필요한 계정 존재 유무를 점검하여 불필요한 계정 정보(패스워드)의 유출 시 발생할 수 있는 비인가자의 DB 접근에 대비되어 있는지 확인하기 위함 ■ 보안위협 DB 관리나 운용에 사용하지 않는 불필요한 계정이 존재할 경우 비인가자가 불필요한 계정을 이용하여 DB에 접근하여 데이터를 열람, 삭제, 수정할 위험이 존재함 ■ 참고 ※ 불필요한 계정: SCOTT, PM, ADAMS, CLARK 등의 Demonstration 계정 및 퇴사나 직무 변경 등으로 더 이상 사용하지 않는..
PC-18 브라우저 종료 시 임시 인터넷 파일 폴더의 내용을 삭제하도록 설정 ■ 점검영역 : 서비스 관리 ■ 항목 중요도 : 하 ■ 점검내용 브라우저 인터넷 옵션에 있는 고급 설정에 “브라우저를 닫을 때 임시 인터넷 파일 폴더 비우기” 기능이 활성화 되어 있는지 점검 ■ 점검목적 브라우저 사용 시 생성되는 임시 인터넷 파일 삭제를 통하여 웹 양식에 입력한 정보(예: 이름 및 주소), 자동 로그인을 위한 웹 사이트 암호 정보 등을 삭제하여 개인정보의 보안을 향상시키기 위함 ■ 보안위협 임시 인터넷 파일 폴더 내용을 삭제하지 않을 경우, 다른 계정에 저장된 임시 인터넷 파일 폴더를 통해 이메일 주소, 웹 사이트 접근 기록 등의 개인정보를 획득할 수 있음 ■ 참고 ※ 임시 인터넷 파일: 웹페이지 방문 시 화면..
N-33 ICMP unreachable, Redirect 차단 ■ 점검영역 : 기능관리 ■ 항목 중요도 : 중 ■ 점검내용 ICMP unreachable, ICMP redirect를 차단하는지 점검 ■ 점검목적 ICMP unreachable 차단으로 DoS 공격을 차단하고 공격자가 네트워크 스캔시 소요되는 시간을 길어지게 하여 스캔 공격을 지연 및 차단함 ICMP redirect 차단으로 라우팅 테이블이 변경되는 것을 차단하기 위함 ■ 보안위협 ICMP unreachable을 차단하지 않을 경우, 공격자의 스캔 공격을 통해 시스템의 현재 운영되고 있는 상태 정보가 노출될 수 있음 ICMP redirect을 차단하지 않을 경우, 호스트 패킷 경로를 다시 지정하는 과정에서 특정 목적지로 가기 위해 고의적으로..
N-31 Source 라우팅 차단 ■ 점검영역 : 기능관리 ■ 항목 중요도 : 중 ■ 점검내용 source routing를 차단하는지 점검 ■ 점검목적 인터페이스마다 no ip source-route를 적용하여 ip spoofing을 차단함 ■ 보안위협 공격자가 source routing된 패킷을 네트워크 내부에 발송할 수 있을 경우, 수신된 패킷에 반응하는 메시지를 가로채어 사용자 호스트를 마치 신뢰 관계에 있는 호스트와 통신하는 것처럼 만들 수 있음 ■ 참고 ※ source routing: 송신 측에서 routing 경로 정보를 송신 데이터에 포함해 routing시키는 방법으로 패킷이 전송되는 경로를 각각의 시스템이나 네트워크에 설정되어 있는 라우팅 경로를 통하지 않고 패킷 발송자가 설정 할 수 있는..
N-30 Directed-broadcast 차단 ■ 점검영역 : 기능관리 ■ 항목 중요도 : 중 ■ 점검내용 Directed-broadcast를 차단하는지 점검 ■ 점검목적 Directed-broadcast 서비스 차단을 통해 DoS 공격을 방지하기 위함 ■ 보안위협 IP Directed-Broadcast는 유니캐스트 IP 패킷이 특정 서브넷에 도착 했을 때 링크-레이어 브로드캐스트로 전환되는 것을 허용함. 이것은 보통 악의적으로 이용되며, 특히 smurf 공격에 이용됨 ■ 참고 ※ Smurf 공격: 인터넷 프로토콜(IP) 브로드캐스트나 기타 인터넷 운용 측면을 이용하여 인터넷망을 공격하는 행위로 브로드캐스트에 대한 응답받을 IP 주소를 변조하여 해당 IP 주소 호스트에 DoS 공격을 감행하는 공격 기법..