D-13 DB 사용자 계정을 개별적으로 부여하여 사용 ■ 점검영역 : 계정관리 ■ 항목 중요도 : 중 ■ 점검내용 DB 접근 시 사용자별로 서로 다른 계정을 사용하여 접근하는지 점검 ■ 점검목적 사용자별 별도 DBMS 계정을 사용하여 DB에 접근하는지 점검하여 DB 계정 공유 사용으로 발생할 수 있는 로그 감사 추적 문제를 대비하고자 함 ■ 보안위협 DB 계정을 공유하여 사용할 경우 비인가자의 DB 접근 발생 시 계정 공유 사용으로 인해 로그 감사 추적의 어려움이 발생할 위험이 존재함 ■ 참고 - 점검대상 및 판단기준(데이터베이스/dbms 취약점 진단) ■ 대상 : Oracle, MSSQL, MySQL, ALTIBASE, TIBERO, PostgreSQL 등 양호 사용자별 계정을 사용하고 있는 경우 취약..
D-15 일정 횟수의 로그인 실패 시 이에 대한 잠금정책 설정 ■ 점검영역 : 접근관리 ■ 항목 중요도 : 중 ■ 점검내용 DBMS 설정 중 일정 횟수의 로그인 실패 시 계정 잠금 정책에 대한 설정이 되어 있는지 점검 ■ 점검목적 일정 횟수의 로그인 실패 시 계정 잠금 정책을 설정하여 비인가자의 자동화된 무작위 대입 공격, 사전 대입 공격 등을 통한 사용자 계정 패스워드 유출을 방지하기 위함 ■ 보안위협 일정한 횟수의 로그인 실패 횟수를 설정하여 제한하지 않으면 자동화된 방법으로 계정 및 패스워드를 획득하여 데이터베이스에 접근하여 정보를 유출할 수 있음 ■ 참고 - 점검대상 및 판단기준(데이터베이스/dbms 취약점 진단) ■ 대상 : Oracle, MSSQL, MySQL, ALTIBASE, TIBERO,..
D-10 데이터베이스에 대해 최신 보안패치와 밴더 권고사항을 모두 적용 ■ 점검영역 : 패치관리 ■ 항목 중요도 : 상 ■ 점검내용 최신 패치 및 벤더 권고사항 적용 여부 점검 ■ 점검목적 정책에 따른 최신 보안패치 및 벤더 권고사항을 적용하여 데이터베이스의 보안성을 향상시키고자 함 ■ 보안위협 데이터베이스의 주요 보안 패치 등을 설치하지 않은 경우, 공격자가 알려진 취약점을 이용하여 데이터베이스에 접근 가능함 ■ 참고 - 점검대상 및 판단기준(데이터베이스/dbms 취약점 진단) ■ 대상 : Oracle, MSSQL, MySQL, ALTIBASE, TIBERO, PostgreSQL 등 양호 정책에 따른 버전별 최신 패치를 적용하고 내부적으로 관리 절차를 수립하여 이행하고 있는 경우 취약 정책에 따른 버전..
D-09 OS_ROLES, REMOTE_OS_AUTHENTICATION, REMOTE_OS_ROLES를 FALSE로 설정 ■ 점검영역 : 옵션관리 ■ 항목 중요도 : 상 ■ 점검내용 OS_ROLES, REMOTE_OS_AUTHENTICATION, REMOTE_OS_ROLES의 설정이 false 인지 여부를 점검 ■ 점검목적 OS_ROLES, REMOTE_OS_AUTHENTICATION, REMOTE_OS_ROLES의 설정을 점검하여 비인가자들의 데이터베이스 접근을 막고 데이터베이스 관리자에 의한 사용자 Role 설정이 가능하게 하기 위함 ■ 보안위협 OS_ROLES가 TRUE로 설정된 경우, 데이터베이스 접근 제어로 컨트롤되지 않는 OS 그룹에 의해 grant된 퍼미션이 허락됨 REMOTE_OS_ROLE..
D-11 데이터베이스의 접근, 변경, 삭제 등의 감사기록이 기관의 감사기록 정책에 적합하도록 설정 ■ 점검영역 : 패치관리 ■ 항목 중요도 : 상 ■ 점검내용 감사기록 정책 설정이 기관 정책에 적합하게 설정되어 있는지 점검 ■ 점검목적 데이터, 로그, 응용프로그램에 대한 감사 기록 정책을 수립하고 적용하여 데이터베이스에 문제 발생 시 원활하게 대응하고자 함 ■ 보안위협 감사기록 정책이 설정되어 있지 않을 경우, 데이터베이스에 문제 발생 시 원인을 규명할 수 있는 자료가 존재하지 않아 이에 대한 대처 및 개선방안 수립이 어려움 ■ 참고 - 점검대상 및 판단기준(데이터베이스/dbms 취약점 진단) ■ 대상 : Oracle, MSSQL, MySQL, ALTIBASE, TIBERO, PostgreSQL 등 양호..
N-26 웹 서비스 차단 ■ 점검영역 : 기능 관리 ■ 항목 중요도 : 중 ■ 점검내용 네트워크 장비의 웹 서비스를 비활성화하거나 특정 IP 주소만 접근을 허용하는지 점검 웹서비스를 이용하여 네트워크 장비를 관리할 경우 허용된 IP에서만 접속할 수 있게 ACL을 적용하였는지 점검 웹서비스가 불필요(장비 관리에 사용하지 않은 경우 포함)하게 활성화 되어 있는지 점검 ■ 점검목적 허용된 IP만 웹 관리자 페이지에 접속할 수 있도록 설정하는지 점검하여 비인가자가 웹 관리자 페이지를 공격하여 네트워크 장비를 장악하지 못하도록하기 위함 ■ 보안위협 허용된 IP에서만 웹 관리자 페이지 접속을 가능하게 ACL 적용하지 않을 경우, 공격자는 알려진 웹 취약점(SQL 인젝션, 커맨드 인젝션 등)이나 자동화된 패스워드 대..
N-22 NTP 서버 연동 ■ 점검영역 : 로그관리 ■ 항목 중요도 : 중 ■ 점검내용 네트워크 장비의 NTP 서버 연동 설정 적용 여부 점검 ■ 점검목적 시스템 운영 또는 보안사고 발생으로 인한 로그 분석 과정에서 이벤트 간의 인과 관계 파악에 도움을 주고 로그 자체의 신뢰성을 갖도록 함 ■ 보안위협 시스템 간 시간 동기화 미흡으로 보안사고 및 장애 발생 시 로그에 대한 신뢰도 확보 미흡 ■ 참고 ※ IOS 12.2 이전 버전을 사용하는 장비에는 접근 통제(ACL) 설정이 되어 있어야 양호 점검대상 및 판단기준(네트워크 취약점 진단) ■ 대상 : Cisco, Alteon, Passport, Juniper, Piolink 등 양호 NTP 서버를 통한 시스템 간 실시간 시간 동기화가 설정된 경우 취약 NT..
D-08 응용프로그램 또는 DBA 계정의 Role이 Public으로 설정되지 않도록 설정 ■ 점검영역 : 옵션관리 ■ 항목 중요도 : 상 ■ 점검내용 응용프로그램 또는 DBA 계정의 Role을 Public으로 설정했는지를 점검 ■ 점검목적 응용프로그램 또는 DBA 계정의 Role을 점검하여 일반 계정으로 응용프로그램 테이블이나 DBA 테이블의 접근을 차단하기 위함 ■ 보안위협 응용프로그램 또는 DBA 계정의 Role이 Public으로 설정되어 있으면, 일반 계정에서도 응용프로그램 테이블 및 DBA 테이블로 접근할 수 있어 주요 정보 유출이 발생할 수 있음 ■ 참고 ※ Role: 사용자에게 허가 할 수 있는 권한들의 집합 점검대상 및 판단기준(데이터베이스/dbms 취약점 진단) ■ 대상 : Oracle, ..
S-24 NTP 서버 연동 ■ 점검영역 : 로그관리 ■ 항목 중요도 : 중 ■ 점검내용 보안장비의 NTP 서버 연동 설정 적용 여부 점검 ■ 점검목적 시스템 운영 또는 보안사고 발생으로 인한 로그 분석 과정에서 이벤트 간의 인과 관계 파악에 도움을 주고 로그 자체의 신뢰성을 갖도록 함 ■ 보안위협 시스템 간 시간 동기화 미흡으로 보안사고 및 장애 발생 시 로그에 대한 신뢰도 확보 미흡 ■ 참고 ※ NTP(Network Time Protocol): 네트워크를 통해 컴퓨터 시스템 간의 시간을 정확하게 유지 시켜주기 위한 네트워크 프로토콜. NTP는 1985년 RFC958로 제안된 표준으로 현재 RFC5905 NTP version 4로 대체됨 ※ https://tools.ietf.org/html/rfc5905..
N-29 CDP 서비스 차단 ■ 점검영역 : 기능관리 ■ 항목 중요도 : 중 ■ 점검내용 CDP 서비스를 차단하는지 점검 ■ 점검목적 동일 네트워크에 있는 다른 Cisco 장비들의 정보 유출 방지 및 DoS 공격을 차단하기 위함 ■ 보안위협 보안이 검증 되지 않은 서비스로, 비인가자가 다른 cisco 장비의 정보를 획득할 수 있으며, Routing Protocol Attack 을 통해 네트워크 장비의 서비스 거부 공격을 할 수 있음 ■ 참고 ※ CDP(Cisco Discovery Protocol): Cisco 제품의 관리를 목적으로 만든 프로토콜로 같은 네트워크에 있는 장비들과 정보를 공유하고, 같은 세그먼트에 있는 다른 라우터에 IOS version, Model, device 등의 정보를 제공함 점검대..
N-32 Proxy ARP 차단 ■ 점검영역 : 기능관리 ■ 항목 중요도 : 중 ■ 점검내용 Proxy ARP를 차단하는지 점검 ■ 점검목적 Proxy ARP 차단으로 IP와 MAC이 관련된 호스트에 대해 정상적인 통신을 유지함 ■ 보안위협 Proxy ARP를 차단하지 않을 경우, 악의적인 사용자가 보낸 거짓 IP와 MAC 정보를 보관하게 되며 이로 인해 호스트와 호스트 사이에서 정상적인 통신이 이루어지지 않을 수 있음 ■ 참고 ※ Proxy ARP: 동일 서브넷에서 다른 호스트를 대신하여 ARP Request에 응답하는 기술 점검대상 및 판단기준(네트워크 취약점 진단) ■ 대상 : Cisco, Alteon, Passport, Juniper, Piolink 등 양호 Proxy ARP를 차단하는 경우 취약..
D-06 DBA 이외의 인가되지 않은 사용자가 시스템 테이블에 접근할 수 없도록 설정 ■ 점검영역 : 접근관리 ■ 항목 중요도 : 상 ■ 점검내용 시스템 테이블에 일반 사용자 계정이 접근할 수 없도록 설정되어 있는지 점검 ■ 점검목적 시스템 테이블의 일반 사용자 계정 접근 제한 설정 적용 여부를 점검하여 일반 사용자 계정 유출 시 발생할 수 있는 비인가자의 시스템 테이블 접근 위험을 차단하기 위함 ■ 보안위협 시스템 테이블의 일반 사용자 계정 접근 제한 설정이 되어 있지 않을 경우 객체, 사용자, 테이블 및 뷰, 작업 내역 등의 시스템 테이블에 저장된 정보가 누출될 수 있음 ■ 참고 - 점검대상 및 판단기준(데이터베이스/dbms 취약점 진단) ■ 대상 : Oracle, MSSQL, MySQL, ALTIB..
D-02 데이터베이스의 불필요 계정을 제거하거나, 잠금설정 후 사용 ■ 점검영역 : 계정관리 ■ 항목 중요도 : 상 ■ 점검내용 DBMS에 존재하는 계정 중 DB 관리나 운용에 사용하지 않는 불필요한 계정이 존재하는지 점검 ■ 점검목적 불필요한 계정 존재 유무를 점검하여 불필요한 계정 정보(패스워드)의 유출 시 발생할 수 있는 비인가자의 DB 접근에 대비되어 있는지 확인하기 위함 ■ 보안위협 DB 관리나 운용에 사용하지 않는 불필요한 계정이 존재할 경우 비인가자가 불필요한 계정을 이용하여 DB에 접근하여 데이터를 열람, 삭제, 수정할 위험이 존재함 ■ 참고 ※ 불필요한 계정: SCOTT, PM, ADAMS, CLARK 등의 Demonstration 계정 및 퇴사나 직무 변경 등으로 더 이상 사용하지 않는..
PC-18 브라우저 종료 시 임시 인터넷 파일 폴더의 내용을 삭제하도록 설정 ■ 점검영역 : 서비스 관리 ■ 항목 중요도 : 하 ■ 점검내용 브라우저 인터넷 옵션에 있는 고급 설정에 “브라우저를 닫을 때 임시 인터넷 파일 폴더 비우기” 기능이 활성화 되어 있는지 점검 ■ 점검목적 브라우저 사용 시 생성되는 임시 인터넷 파일 삭제를 통하여 웹 양식에 입력한 정보(예: 이름 및 주소), 자동 로그인을 위한 웹 사이트 암호 정보 등을 삭제하여 개인정보의 보안을 향상시키기 위함 ■ 보안위협 임시 인터넷 파일 폴더 내용을 삭제하지 않을 경우, 다른 계정에 저장된 임시 인터넷 파일 폴더를 통해 이메일 주소, 웹 사이트 접근 기록 등의 개인정보를 획득할 수 있음 ■ 참고 ※ 임시 인터넷 파일: 웹페이지 방문 시 화면..