Audit Table은 데이터베이스 관리자 계정으로만 접근하도록 제한 취약점 개요 ■ 위험도 - 하 ■ 점검 목적 - Audit Table 접근 권한을 관리자 계정으로 제한하고자 함 ■ 보안 위협 - Audit Table 이 데이터베이스 관리자 계정에 속하지 않을 경우, 비인가자가 감자 데이터의 수정, 삭제 등의 수행이 가능함 점검 및 조치 방법 ■ 판단 기준 - 양호 : Audit Table 접근 권한이 관리자 계정으로 설정한 경우 - 취약 : Audit Table 접근 권한이 일반 계정으로 설정한 경우 ■ 조치 방법 - Audit Table 접근 권한을 관리자 계정으로 제한 ■ 용어 설명 / 팁 Oracle, Tibero Step 1) 설정 확인(SQL*Plus) Step 2) Audit Table에..
데이터베이스의 자원 제한 기능을 TRUE 로 설정 취약점 개요 ■ 위험도 - 하 ■ 점검 목적 - RESOURCE_LIMIT 값을 TRUE로 설정하도록 함 ■ 보안 위협 - 자원 제한 기능을 TRUE로 설정하지 않을 경우, 특정 사용자가 과도하게 많은 자원을 소비할 수 있으며 이로 인해 시스템에 과부하가 발생할 수 있음 점검 및 조치 방법 ■ 판단 기준 - 양호 : RESOURCE_LIMIT 설정이 TRUE로 되어있는 경우 - 취약 : RESOURCE_LIMIT 설정이 FALSE로 되어있는 경우 ■ 조치 방법 RESOURCE_LIMIT 설정을 TRUE로 설정 변경 Oracle Step 1) init.ora 설정 파일에 RESOURCE_LIMIT = TRUE 라인 추가 # vi /Oracle_HomeDir..
보안에 취약하지 않은 버전의 데이터베이스를 사용 취약점 개요 ■ 위험도 - 중 ■ 점검 목적 - 안전한 버전의 데이터베이스를 사용하여 알려진 보안 취약점으로 인한 공격을 차단하기 위함 ■ 보안 위협 - 안정하지 않는 버전을 사용할 경우, 공격자가 시스템 권한 획득 등을 할 수 있는 취약점이 존재함 점검 및 조치 방법 ■ 판단 기준 - 양호 : 보안 패치가 적용된 버전을 사용하는 경우 - 취약 : 보안 패치가 적용되지 않는 버전을 사용하는 경우 ■ 조치 방법 - 보안패치가 적용된 버전으로 업데이트 ● Oracle Step 1) Oracle 최신 버전 확인 http://www.oracle.com/technetwork/database/enterprise-edition/overview/index.html Ste..
grant option 이 role 에 의해 부여되도록 설정 취약점 개요 ■ 위험도 - 중 ■ 점검 목적 - 일반사용자에게 Grant Option이 Role에 의한 부여가 아닐 경우 권한을 취소함 ■ 보안 위협 - 일반 사용자에게 Grant Option이 설정되어 있는 경우, 일반 사용자가 객체 소유자인 것과 같이 다른 일반 사용자에게 권한을 부여할 수 있어 WITH_GRANT_OPTION은 role에 의하여 설정되어야 함 점검 및 조치 방법 ■ 판단 기준 - 양호 : WITH_GRANT_OPTION이 ROLE에 의하여 설정되어 있는 경우 - 취약 : WITH_GRANT_OPTION이 ROLE에 의하여 설정되어있지 않은 경우 ■ 조치 방법 - WITH_GRANT_OPTION이 ROLE에 의하여 설정되도록..
인가되지 않은 Object Owner 의 제한 취약점 개요 ■ 위험도 - 하 ■ 점검 목적 - Object Owner가 비인가자에게 존재하고 있을 경우 이를 제거하기 위함 ■ 보안 위협 - Object Owner는 SYS, SYSTEM과 같은 데이터베이스 관리자 계정과 응용 프로그램의 관리자 계정에만 존재하여야 하며, 일반 계정이 존재할 경우 공격자가 이를 이용하여 Object의 수정, 삭제가 가능합 점검 및 조치 방법 ■ 판단 기준 - 양호 : Object Owner가 SYS, SYSTEM, 관리자 계정 등으로 제한한 경우 - 취약 : Object Owner가 일반 사용자에게도 존재하는 경우 ■ 조치 방법 - Object Owner를 SYS, SYSTEM, 관리자 계정으로 제한 설정 Oracle Ste..
패스워드 확인함수의 설정 및 적용 취약점 개요 ■ 위험도 - 중 ■ 점검 목적 - PASSWORD_VERIFY_FUNCTION 값을 설정하여 기본적인 패스워드 정책을 적용하고 이를 통해 로그인에 대한 보안성을 강화하여 저장중인 데이터의 안전성을 높이고자 함 ■ 보안 위협 - PASSWORD_VERIFY_FUNCTION 값이 설정되어 있지 않을 경우. 비인가자가 각종 공격(무작위 대입공격, 사전 대입 공격 등)을 통해 취약한 패스워드가 설정된 사용자 계정의 패스워드를 획득하여 획득한 사용자 계정 권한을 통해 저장되어 있는 데이터의 유출, 수정, 삭제 등의 위험이 발생할 수 있음 점검 및 조치 방법 ■ 판단 기준 - 양호 : 패스워드 검증 함수로 검증이 진행되는 경우 - 취약 : 패스워드 검증 함수가 설정되..
관리자 이외의 사용자가 리스너 로그 및 trace 파일에 대한 변경을 제한 취약점 개요 ■ 위험도 - 하 ■ 점검 목적 - 리스너 설정 파일 및 파라미터 변경 방지 옵션을 설정하여 비인가자의 리스너를 이용한 파라미터 변경을 방지하여 trace 파일 및 리스너 로그의 신뢰도를 유지하기 위함 ■ 보안 위협 - 비인가자가 Oracle의 LSNRCTL 유틸리티를 이용하여 listener에 직접 접근 시 set 명령어를 이용하여 listener의 모든 파라미터를 변경할 수 있어서 trace 파일이나 listener 로그 파일을 변경할 수 있음 점검 및 조치 방법 ■ 판단 기준 - 양호 : 리스너 관련 설정 파일에 대한 퍼미션이 관리자로 설정되어 있으며, 리스너로 파라미터를 변경할 수 없게 옵션을 설정했을 경우 -..
주요 파일(설정파일, 패스워드 파일 등)들의 접근 권한 설정 취약점 개요 ■ 위험도 - 중 ■ 점검 목적 - 데이터베이스의 주요 파일에 관리자를 제외한 일반 사용자의 파일 수정권한을 제거함으로써 비인가자에 의한 DBMS 주요 파일 변경이나 삭제를 방지하고 주요 정보 유출을 방지할 수 있음 ■ 보안 위협 - 데이터베이스의 주요 파일에 관리자를 제외한 일반 사용자의 파일 수정권한을 제거함으로써 비인가자에 의한 DBMS 주요 파일 변경이나 삭제를 방지하고 주요 정보 유출을 방지할 수 있음 점검 및 조치 방법 ■ 판단 기준 - 양호 : 주요 설정 파일 및 디렉터리 퍼미션 설정 시 일반 사용자의 수정 권한을 제거한 경우 - 취약 : 주요 설정 파일 및 디렉터리의 퍼미션 설정 시 일반 사용자의 수정 권한을 제거하지..
DB 계정의 umask를 022 이상으로 설정 취약점 개요 ■ 위험도 - 하 ■ 점검 목적 - 소프트웨어 설치 때 생성되는 파일에 관리자를 제외한 일반 사용자의 파일 수정 권한을 제거함으로써 비인가자에 의한 DBMS 주요 파일 변경이나 삭제로부터 보호하기 위함 ■ 보안 위협 - umask를 "022" 이상으로 설정하지 않을 경우, 비인가자에 의한 데이터베이스의 주요 파일 변경, 삭제 등으로 데이터 베이스 시스템 장애가 발생할 수 있음 점검 및 조치 방법 ■ 판단 기준 - 양호 : 계정의 umask가 022 이상으로 설정되어 있는 경우 - 취약 : 계정의 umask가 022 이상으로 설정되어 있지 않은 경우 ■ 조치 방법 계정의 umask를 022 이상으로 설정 변경 Unix OS - 일시적 설정으로 um..
일정 횟수의 로그인 실패 시 이에 대한 잠금정책 적용 취약점 개요 ■ 위험도 - 중 ■ 점검 목적 - 일정 횟수의 로그인 실패 시 계정 잠금 정책을 설정하여 비인가자의 자동화된 무작위 대입공격, 사전 대입 공격 등을 통한 사용자 계정 패스워드 유출을 방지하기 위함 ■ 보안 위협 - 일정한 횟수의 로그인 실패 횟수를 설정하여 제한하지 않으면 자동화된 방법으로 계정 및 패스워드를 획득하여 데이터베이스에 접근하여 정보를 유출할 수 있음 점검 및 조치 방법 ■ 판단 기준 - 양호 : 로그인 시도 횟수를 제한하는 값을 설정하는 경우 - 취약 : 로그인 시도 횟수를 제한하는 값을 설정하지 않은 경우 ■ 조치 방법 로그인 시도 횟수 제한 값 설정 Oracle Step 1) 접근 횟수 제한을 위해 파라미터 설정 Fai..
취약점 개요 ■ 위험도 - 중 ■ 점검 목적 - 불필요한 데이터 소스 및 드라이버를 제거함으로써 비인가자에 의한 데이터베이스 접속 및 자료 및 자료 유출을 차단하기 위함 ■ 보안 위협 - 불필요한 ODBC/OLE-DB 데이터 소스를 통한 비인가자의 데이터베이스 접속 및 주요 정보 유출에 대한 위험이 발생할 수 있음 점검 및 조치 방법 ■ 판단 기준 - 양호 : 불필요한 ODBC/OLE-DB가 설치되지 않은 경우 - 취약 : 불필요한 ODBC/OLE-DB가 설치된 경우 ■ 조치 방법 불필요한 ODBC/OLE-DB 제거 ◎ Windows NT Step 1) 사용하지 않는 불필요한 ODBC 데이터 소스 제거 시작 > 설정 > 제어판 > 데이터 원본(ODBC) > 시스템 DSN > 해당 드라이브 클릭 Step ..
취약점 개요 ■ 위험도 - 중 ■ 점검 목적 - 사용자별 별도 DBMS 계정을 사용하여 DB에 접근하는지 점검하여 DB 계정 공유 사용으로 발생할 수 있는 로그 감사 추적 문제를 대비하고자 함 ■ 보안 위협 - DB 계정을 공유하여 사용할 경우 비인가자의 DB 접근 발생 시 계정 공유 사용으로 인해 로그 감사 추적의 어려움이 발생할 위험이 존재함 점검 및 조치 방법 ■ 판단 기준 - 양호: 사용자별 계정을 사용하고 있는 경우 - 취약: 공용 계정을 사용하고 있는 경우 ■ 조치 방법 사용자별 계정 생성 및 권한 부여 ■ Oracle 1. 계정 확인(SQL*Plus) SQL> select username from dba_users order by username;(사용하지 않거나 모르는 계정 확인) 2. 공..
