※ 해당 가이드는 2017년 기준입니다.
주요정보통신기반시설 관리기관은 -정보통신기반 보호법- 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월이내, 그리고 매년 취약점 분석/평가를 실시하여야 한다. 취약점 분석/평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응을 위한 종합적 개선과정이다.
주요정보통신기반시설 취약점 네트워크 장비 점검 항목
■ 취약점 개요
○ 점검개요 : DBMS에 존재하는 계정 중 DB 관리나 운용에 사용하지 않는 불필요한 계정이 존재하는지 점검
○ 점검목적 : 불필요한 계정 존재 유무를 점검하여 불필요한 계정 정보패스워드)의 유출 시 발생할 수 있는 비인가자의 DB 접근에 대비되어 있는지 확인
○ 보안위협 : DB 관리나 운용에 사용하지 않는 불필요한 계정이 존재할 경우 비인가자가 불필요한 계정을 이용하여 DB에 접근하여 데이터를 열람, 삭제, 수정할 위험이 존재
○ 점검대상 : Oracle, MSSQL, MySQL, ALTIBASE, TIBERO 등
○ 판단기준
- 양호 : 계정 정보를 확인하여 불필요한 계정이 없는 경우
- 취약 : 인가되지 않은 계정, 퇴직자 계정, 테스트 계정 등 불필요한 계정이 존재하는 경우
■ 점검 및 조치 방법
○ ORACLE
| Step 1 | 불필요한 Demonstration 계정 및 오브젝트 삭제 SQL> DROP USER ‘삭제할 계정’; |
| Step 2 | 계정 잠금/만료 SQL> ALTER USER ‘잠금/만료 계정’ ACCOUNT LOCK PASSWORD EXPIRE; |
○ MSSQL
| Step 1 | 불필요한 계정 삭제 Exec sp_droplogin ‘삭제할 계정’; |
○ MySQL
| Step 1 | 불필요한 계정 삭제 mysql> Delete from user where user=‘삭제할 계정’; |
○ Altibase
| Step 1 | 모든 사용자 확인 select * from system_. sys_users_; |
| Step 2 | 불필요한 계정 삭제 DROP USER user_name CASCADE; |
○ Tibero
| Step 1 | 모든 사용자 확인 Tibero에서는 사용자의 정보를 제공하기 위해 아래 나열된 정적 뷰를 제공하고 DBA나 일반 사용자 모두 사용 가능 select * from all_users; select * from dba_users; select * from user_users; |
| Step 2 | 불필요한 계정 삭제 DROP USER user_name CASCADE; |
■ 조치 시 영향
Demonstration 계정 / 오브젝트 사용 불가 / 삭제된 계정 사용 불가
■ 불필요한 계정
○ SCOTT, PM, ADAMS, CLARK 등의 Demonstration 계정 및 퇴사나 직무 변경 등으로 더 이상 사용하지 않는 계정
'취약점 진단 가이드 > DBMS 취약점 진단 가이드' 카테고리의 다른 글
| D-06(중) DB 사용자 계정의 개별적 부여 및 사용 (0) | 2021.07.20 |
|---|---|
| D-05(중) 패스워드 재사용에 대한 제약 설정 (0) | 2021.07.20 |
| D-04(상) 데이터베이스 관리자 권한을 꼭 필요한 계정 및 그룹에 허용 (0) | 2021.07.19 |
| D-03(상) 패스워드의 사용기간 및 복잡도를 기관 정책에 맞도록 설정 (0) | 2021.07.19 |
| D-01(상) 기본 계정의 패스워드, 정책 등을 변경하여 사용 (0) | 2021.07.17 |