※ 해당 가이드는 2017년 기준입니다.
주요정보통신기반시설 관리기관은 -정보통신기반 보호법- 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월이내, 그리고 매년 취약점 분석/평가를 실시하여야 한다. 취약점 분석/평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응을 위한 종합적 개선과정이다.
주요정보통신기반시설 취약점 네트워크 장비 점검 항목
■ 취약점 개요
○ 점검개요 : DBMS 기본 계정의 디폴트 패스워드 및 권한 정책을 변경하여 사용하는지 점검
○ 점검목적 : DBMS 기본 계정의 디폴트 패스워드 및 권한 정책 변경 사용 유무를 점검하여 비인가자의 디폴트 패스워드 대입 공격을 차단하고 있는지 확인
○ 보안위협 : DBMS 기본 계정 디폴트 패스워드 및 권한 정책을 변경하지 않을 경우 비인가자가 인터넷 통해 DBMS 기본 계정의 디폴트 패스워드를 획득하여 디폴트 패스워드를 그대로 사용하고 있는 DB에 접근하여 기본 계정에 부여된 권한의 취약점을 이용하여 DB 정보를 유출 할 수 있는 위험이 존재
○ 점검대상 : Oracle, MSSQL, MySQL, ALTIBASE, TIBERO 등
○ 판단기준
- 양호 : 기본 계정의 디폴트 패스워드 및 권한 정책을 변경하여 사용하는 경우
- 취약 : 기본 계정의 디폴트 패스워드 및 권한 정책을 변경하지 않고 사용하는 경우
■ 점검방법
○ ORACLE
| Step 1 | 사용되는 계정인 경우 계정의 기본 패스워드 변경 후 사용 SQL> alter user username identified by new_passwd; ㆍ그 이외에 객체 권한 부여 , 기본 role 확인 및 변경 수행 ㆍDBSNMP 파일의 접근권한 설정이 필요 chmod 700 snmp_rw. ora (결과값 –rwx------snmp_rw.ora) |
| Oracle 설치 시 생성되는 디폴트 계정 정보 | |||
| User | Paaword | User | Password |
| scott | tiger or tigger | system | manager |
| dbsnmp | dbsnmp | sys | changeon_install |
| tracesvr | trace | outln | outln |
| ordplugins | ordplugis | ordsys | ordsys |
| ctxsys | ctxsys | mdsys | mdsys |
| adams | wood | blake | papr |
| clark | clth | jones | steel |
| lbacsys | lbacsys | ||
○ MSSQL
| Step 1 | sa 계정 패스워드 변경 Alter login sa with password=’new password’; |
○ MySQL
| Step 1 | root 계정 패스워드 변경 mysql> use mysql; mysql> update user set password=password('new password') where user=’root’; mysql> flush privileges; 또는, mysql> set password for root=password ('new password') ; |
○ Altibase
- 조치방법 1.
| Step 1 | 다음 명령어를 통해 패스워드 정책 설정 여부 확인 select * from system_. sys_users_; |
| Step 2 | alter user 명령어로 패스워드 변경 알티베이스 서버에 sys 유저로 접속 후 alter user 명령어로 패스워드를 변경 ALTER USER sys IDENTIFIED BY “New_passwd”; |
- 조치방법 2.
| Step 1 | altipasswd 명령어로 패스워드 변경 알티베이스 서버 온라인 상태에서 수행 $ altipasswd Previous Password : old_password New Password : new_password Retype New Password : new_password |
○ Tibero
| Step 1 | sys 계정 패스워드 변경 ALTER USER sys IDENTIFIED BY “New_passwd”; |
○ 패스워드 관리 방법
○ 영문, 숫자, 특수문자를 조합하여 계정명과 상이한 8자 이상의 패스워드 설정(다음 각 목의 문자 종류 중 2종류 이상을 조합하여 최소 10자리 이상 또는, 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성)
- 영문 대문자(26개)
- 영문 소문자(26개)
- 숫자(10개)
- 특수문자(32개)
○ 시스템마다 상이한 패스워드 사용
○ 패스워드를 기록해 놓을 경우 변형하여 기록
○ 가급적 자주 패스워드를 변경할 것
■ 조치방안
○ 유해 트래픽 차단 정책 설정
| Step 1 | 침입차단시스템의 유해트래픽 차단 기능 설정 |
■ 조치 시 영향
일반적인 경우 무관
■ 기본 계정
○ DB 설치 후 초기에 기본으로 생성되어 있는 DBMS 관리용 계정(예 sa)
- 디폴트 패스워드 : 관리자 계정(예 sa)에 기본으로 지정되어 있는 패스워드
'취약점 진단 가이드 > DBMS 취약점 진단 가이드' 카테고리의 다른 글
| D-06(중) DB 사용자 계정의 개별적 부여 및 사용 (0) | 2021.07.20 |
|---|---|
| D-05(중) 패스워드 재사용에 대한 제약 설정 (0) | 2021.07.20 |
| D-04(상) 데이터베이스 관리자 권한을 꼭 필요한 계정 및 그룹에 허용 (0) | 2021.07.19 |
| D-03(상) 패스워드의 사용기간 및 복잡도를 기관 정책에 맞도록 설정 (0) | 2021.07.19 |
| D-02(상) scott 등의 Demonstration 및 불필요 계정을 제거하거나 잠금 설정 후 사용 (0) | 2021.07.18 |