주요정보통신기반시설 관리기관은 -정보통신기반 보호법- 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월이내, 그리고 매년 취약점 분석/평가를 실시하여야 한다. 취약점 분석/평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응을 위한 종합적 개선과정이다.
주요정보통신기반시설 취약점 Unix 점검 항목
■ 취약점 개요
○ 점검개요 : 그룹(예 /etc/group) 설정 파일에 불필요한 그룹(계정이 존재하지 않고 시스템 관리나 운용에 사용되지 않는 그룹, 계정이 존재하고 시스템 관리나 운용에 사용되지 않는 그룹 등)이 존재하는지 점검
○ 점검목적 : 시스템에 불필요한 그룹이 존재하는지 점검하여 불필요한 그룹의 소유권으로 설정되어 있는 파일의 노출에 의해 발생할 수 있는 위험에 대한 대비가 되어 있는지 확인
○ 보안위협 : 시스템에 불필요한 그룹이 존재할 경우 해당 그룹 소유의 파일이 비인가자에게 노출될 수 있는 위험이 존재
○ 점검대상 : SOLARIS, LINUX, AIX, HP-UX 등
○ 판단기준
- 양호 : 시스템 관리나 운용에 불필요한 그룹이 삭제 되어있는 경우
- 취약 : 시스템 관리나 운용에 불필요한 그룹이 존재할 경우
■ 점검방법
○ SOLATIS ○ AIX ○ HP-UX
#cat /etc/group
※ 불필요한(계정이 존재하지 않고 시스템 관리나 운용에 사용되지 않는 그룹, 계정이 존재하고 시스템 관리나 운용에 사용되지 않는 그룹 등) 그룹이 존재하는 경우 조치방안에 따라 그룹을 제거한다.
○ LINUX
#cat /etc/gshadow
ㆍgshadow 파일
“shadow” 파일에 사용자 계정의 암호가 저장되어 있는 것처럼 시스템 내 존재하는 그룹의 암호 정보 저장 파일로 그룹 관리자 및 구성원 설정 가능
ㆍ“gshadow” 파일 내 필드는 다음 같은 구조로 구성
[그룹명 : 패스워드 : 관리자, 관리자, ... : 멤버, 멤버 ... ]
■ 조치방안
○ SOLATIS ○ AIX ○ HP-UX ○ LINUX
#cat /etc/group
※ 불필요한(계정이 존재하지 않고 시스템 관리나 운용에 사용되지 않는 그룹, 계정이 존재하고 시스템 관리나 운용에 사용되지 않는 그룹 등) 그룹이 존재하는 경우 조치방안에 따라 그룹을 제거한다.
■ GID(Group Identification)
○ 다수의 사용자가 특정 개체를 공유할 수 있게 연계시키는 특정 그룹의 이름으로 주로 계정처리 목적으로 사용되며, 한 사용자는 여러 개의 GID를 소유 가능
※ “/etc/group” 파일만으로 구성원이 없는 group이라 판단하기 어렵기 때문에 “/etc/passwd”와 “/etc/group”을 같이 확인하여 판단하기를 권고한다.
■ 조치 시 영향
일반적인 경우 무관