W-19 IIS 가상 디렉토리 삭제 ■ 점검영역 : 서비스 관리 ■ 항목 중요도 : 상 ■ 점검내용 불필요한 IIS 가상 디렉토리 삭제 여부 점검 ■ 점검목적 IIS 를 설치 시 가상 디렉토리 내에 제공되는 취약한 샘플 어플리케이션을 제거하여 잠재적인 위험을 제거하기 위함 ■ 보안위협 기본 가상 디렉토리가 삭제되지 않은 경우 ADSI 스크립트를 이용한 기본 웹사이트 설정을 변경 및 MSADC 가상 디렉토리를 통한 서버 자원 접근이 가능하여 악의적인 공격의 대상이 될 수 있음 ■ 참고 ※ /issadmpwd 파일을 제거하고 이 외 존재하는 가상 디렉토리 취약점을 줄이기 위해서 IIS Admin에 관계되는 모든 파일 및 디렉토리를 삭제하여야 함 ※ IIS 4.0, 5.0 설치 시 기본적으로 /issadmpw..
W-36 백신 프로그램 설치 ■ 점검영역 : 보안 관리 ■ 항목 중요도 : 상 ■ 점검내용 시스템 내 백신 프로그램 설치 여부 점검 ■ 점검목적 적절한 백신 프로그램을 설치하여 바이러스 감염 여부 진단, 치료 및 파일보호를 통한 예방 조치를 위함 ■ 보안위협 백신 프로그램이 설치되지 않은 경우 웜, 트로이목마 등의 악성 바이러스로 인한 시스템 피해 위험이 있음 ■ 참고 ※ 웜: 악의적인 목적을 가지고 자기 자신을 복제해 전파시키며 주로 네트워크 공유 폴더나 메일로 전파됨 ※ 트로이목마: 고의적으로 악의적 목적이 있는 파일, 주로 다른 악성코드나 위장된 프로그램으로 전파되거나 인터넷을 통해 다운로드 됨 점검대상 및 판단기준(윈도우 서버, window) ■ 대상 : Windows NT, 2000, 2003,..
W-22 IIS Exec 명령어 쉘 호출 진단 ■ 점검영역 : 서비스 관리 ■ 항목 중요도 : 상 ■ 점검내용 IIS Exec 명령어 쉘 호출 여부 진단 ■ 점검목적 웹 서버에서 임의 명령어 호출을 제한하여 허가되지 않은 명령어 실행을 차단하기 위함 ■ 보안위협 웹 서버에서 # exec 명령어를 통한 명령어 실행이 차단되지 않은 경우, 웹 서버에서 임의의 시스템 명령이 호출 가능하여 허가되지 않은 파일의 실행 위험 존재 점검대상 및 판단기준(윈도우 서버, window) ■ 대상 : Windows NT, 2000, 2003, 2008, 2012, 2016, 2019 양호 IIS 5.0 버전에서 해당 레지스트리 값이 0이거나, IIS 6.0 버전 이상인 경우 취약 IIS 5.0 버전에서 해당 레지스트리 값이..
W-23 IIS WebDAV 비활성화 ■ 점검영역 : 서비스 관리 ■ 항목 중요도 : 상 ■ 점검내용 IIS WebDAV 비활성화 여부 점검 ■ 점검목적 WebDAV 서비스를 비활성화 하여, IIS WebDAV에서 발견되는 다수의 인증 우회 취약점을 제거하고자 함 ■ 보안위협 WebDAV가 활성화 되어 있는 경우 IIS에 악의적으로 작성된 HTTP 요청을 이용하여 인증을 우회함으로써 패스워드로 보호된 WebDAV의 자원에 접근 (디렉토리 열람, 파일 다운로드 등)이 가능 WebDAV에 의해 호출된 일부 구성 요소에 매개 변수를 정확하게 점검하지 않는 결함이 존재하여, 이로 인해 버퍼 오버런이 발생 가능 ■ 참고 ※ WebDAV(Web Distributed Authoring and Versioning): ..
W-25 FTP 서비스 구동 점검 ■ 점검영역 : 서비스 관리 ■ 항목 중요도 : 상 ■ 점검내용 시스템 내 FTP 서비스 구동 여부 점검 ■ 점검목적 인증 정보가 기본적으로 평문전송 되는 취약한 프로토콜인 FTP의 사용을 제한하여 네트워크 보안성을 높이고자 함 ■ 보안위협 OS에서 제공하는 기본적인 FTP 서비스를 사용할 경우 계정과 패스워드가 암호화되지 않은 채로 전송 되어 Sniffer에 의한 계정 정보의 노출 위험 존재 ■ 참고 ※ Sniffer: 네트워크 트래픽을 감시하고 분석하는 프로그램 점검대상 및 판단기준(윈도우 서버, window) ■ 대상 : Windows NT, 2000, 2003, 2008, 2012, 2016, 2019 양호 FTP 서비스를 사용하지 않는 경우 또는 secure F..
U-59 숨겨진 파일 및 디렉토리 검색 및 제거 ■ 점검영역 : 파일 및 디렉토리 관리 ■ 항목 중요도 : 하 ■ 점검내용 숨김 파일 및 디렉터리 내 의심스러운 파일 존재 여부 점검 ■ 점검목적 숨겨진 파일 및 디렉터리 중 의심스러운 내용은 정상 사용자가 아닌 공격자에 의해 생성되었을 가능성이 높음으로 이를 발견하여 제거함 ■ 보안위협 공격자는 숨겨진 파일 및 디렉터리를 통해 시스템 정보 습득, 파일 임의 변경 등을 할 수 있음 점검대상 및 판단기준(리눅스, 유닉스) ■ 대상 : SOLARIS, LINUX, AIX, HP-UX 등 양호 불필요하거나 의심스러운 숨겨진 파일 및 디렉터리를 삭제한 경우 취약 불필요하거나 의심스러운 숨겨진 파일 및 디렉터리를 방치한 경우 ■ 조치방법 ls –al 명령어로 숨겨진..
W-26 FTP 디렉토리 접근권한 설정 ■ 점검영역 : 서비스 관리 ■ 항목 중요도 : 상 ■ 점검내용 FTP 홈디렉토리의 접근 권한 적절성 점검 ■ 점검목적 FTP 서비스 디렉토리의 접근 권한을 적절하게 설정하여 의도치 않은 정보유출 등의 보안 사고를 방지하고자 함 ■ 보안위협 FTP 홈디렉토리에 과도한 권한(예. Everyone Full Control)이 부여된 경우 임의의 사용자가 쓰기, 수정이 가능하여 정보유출, 파일 위‧변조 등의 위험 존재 ■ 참고 ※ 기반시설 시스템은 FTP 서비스를 사용하지 않는 것이 원칙이나, 조직 내에서 해당 서비스를 부득이 사용해야 하는 경우 관련 보호 대책을 수립 및 적용하여 활용하여야 함 점검대상 및 판단기준(윈도우 서버, window) ■ 대상 : Windows ..
W-31 최신 서비스팩 적용 ■ 점검영역 : 서비스 관리 ■ 항목 중요도 : 상 ■ 점검내용 최신 서비스팩 적용 여부 점검 ■ 점검목적 시스템을 최신 버전으로 유지하여 새로운 위협 및 진행 중인 위협으로부터 중요 정보와 시스템을 보호하기 위함 ■ 보안위협 보안 업데이트를 적용하지 않은 경우 시스템 및 응용프로그램의 취약성으로 인해 권한 상승, 원격 코드 실행, 보안 기능 우회 등의 문제를 일으킬 수 있음 ■ 참고 ※ 서비스팩: Windows의 안정성을 높이기 위해 응용프로그램, 서비스, 실행 파일 등 여러 수정 파일들을 모아 놓은 업데이트 프로그램 점검대상 및 판단기준(윈도우 서버, window) ■ 대상 : Windows NT, 2000, 2003, 2008, 2012, 2016, 2019 양호 최신 ..
W-27 Anonymous FTP 금지 ■ 점검영역 : 서비스 관리 ■ 항목 중요도 : 상 ■ 점검내용 FTP 서비스의 Anonymous(익명) 접속 허용 여부 점검 ■ 점검목적 FTP 익명 접속을 제한하여, 중요 정보의 불법 유출을 차단 하고자 함 ■ 보안위협 FTP 익명 접속이 허용된 경우 핵심 기밀 자료나 내부 정보의 불법 유출 가능성이 존재함 ■ 참고 ※ 만약 익명 접속이 허용된 FTP 서버에 익명 사용자에 대해 쓰기 권한이 부여된 경우, 정상적으로 업로드한 파일들의 변조가 가능하므로 공개한 디렉토리 내 중요 데이터가 보관되어 있는지 여부를 추가적으로 확인하여야 함 점검대상 및 판단기준(윈도우 서버, window) ■ 대상 : Windows NT, 2000, 2003, 2008, 2012, 201..
U-13 SUID, SGID 설정 파일점검 ■ 항목 중요도 : 상 ■ 점검내용 불필요하거나 악의적인 파일에 SUID, SGID 설정 여부 점검 ■ 점검목적 불필요한 SUID, SGID 설정 제거로 악의적인 사용자의 권한상승을 방지하기 위함 ■ 보안위협 SUID, SGID 파일의 접근권한이 적절하지 않을 경우 SUID, SGID 설정된 파일로 특정 명령어를 실행하여 root 권한 획득 가능함 ■ 참고 ※ SUID: 설정된 파일 실행 시, 특정 작업 수행을 위하여 일시적으로 파일 소유자의 권한을 얻게 됨 ※ SGID: 설정된 파일 실행 시, 특정 작업 수행을 위하여 일시적으로 파일 소유 그룹의권한을 얻게 됨 점검대상 및 판단기준 ■ 대상 : SOLARIS, LINUX, AIX, HP-UX 등 양호 주요 실행..
W-28 FTP 접근 제어 설정 ■ 점검영역 : 서비스 관리 ■ 항목 중요도 : 상 ■ 점검내용 FTP 접속 가능한 IP 주소 지정 여부 점검 ■ 점검목적 FTP 접근 시 특정 IP 주소에 대해 콘텐츠 액세스를 허용하여 서비스 보안성을 강화하고자 함 ■ 보안위협 FTP 프로토콜은 로그온에 지정된 자격 증명이나 데이터 자체가 암호화 되지 않고 모든 자격 증명을 일반 텍스트로 네트워크를 통해 전송되는 특성상 서버 클라이언트간 트래픽 스니핑을 통해 인증정보가 쉽게 노출되므로 접속 허용된 사용자 IP를 지정하여 접속자를 제한할 것을 권고 ■ 참고 ※ 기반시설 시스템은 FTP 서비스를 사용하지 않는 것이 원칙이나, 조직 내에서 해당 서비스를 부득이 사용해야 하는 경우 관련 보호 대책을 수립 및 적용하여 활용하여야..
W-32 최신 HOT FIX 적용 ■ 점검영역 : 패치 관리 ■ 항목 중요도 : 상 ■ 점검내용 최신 Hot Fix 적용 여부 점검 ■ 점검목적 최신 Hot Fix를 설치하여 시스템 및 응용프로그램의 취약성을 제거하기 위함 ■ 보안위협 최신 Hot Fix가 즉시 적용되지 않은 경우 알려진 취약성으로 인한 시스템 공격 가능성 존재 ■ 참고 ※ Hot Fix보다 취약성을 이용한 공격도구가 먼저 출현할 수 있으므로 Hot Fix는 발표 후 가능한 한 빨리 설치할 것을 권장함 ※ Hot Fix 즉시 교정되어야만 하는 주요한 취약점(주로 보안과 관련된)을 패치하기 위해 배포되는 프로그램. 서비스팩이 발표된 이후 패치가 추가될 필요가 있을 때 별도로 발표됨 점검대상 및 판단기준(윈도우 서버, window) ■ 대상..
W-30 RDS(Remote Data Services)제거 ■ 점검영역 : 서비스 관리 ■ 항목 중요도 : 상 ■ 점검내용 RDS(Remote Data Services) 비활성화 여부 점검 ■ 점검목적 취약한 RDS 서비스를 제거하여 불법적인 원격 공격을 차단하기 위함 ■ 보안위협 취약한 플랫폼의 RDS가 사용되는 경우 서비스 거부 공격이나 원격에서 관리자 권한으로 임의의 명령을 실행할 수 있는 위험이 존재함 ■ 참고 ※ MDAC 2.7 미만의 버전에서 웹 서버와 웹 클라이언트는 모두 이 취약점으로 인해 위험해질 수 있으므로 RDS가 불필요할 경우 제거하는 것이 안전함 ※ RDS(Remote Data Services): MDAC(Microsoft Data Access Components)의 한 컴포넌트로..
W-29 DNS Zone Transfer 설정 ■ 점검영역 : 서비스 관리 ■ 항목 중요도 : 상 ■ 점검내용 DNS Zone Transfer 차단 설정 여부 점검 ■ 점검목적 DNS Zone Transfer 차단 설정을 적용하여 도메인 정보의 불법 외부 유출을 막고자 함 ■ 보안위협 DNS Zone Transfer 차단 설정이 적용되지 않은 경우 DNS 서버에 저장되어 있는 도메인 정보를 승인된 DNS 서버가 아닌 외부로 유출 위험 존재 ■ 참고 ※ zone-transfer: zone(영역) 전송이라고 하며 master와 slave간에 또는 primary와 secondary DNS간에 zone 파일을 동기화하기 위한 용도로 사용되는 기술 점검대상 및 판단기준(윈도우 서버, window) ■ 대상 : W..