※ 해당 가이드는 2021년 기준입니다.
주요정보통신기반시설 관리기관은 -정보통신기반 보호법- 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월이내, 그리고 매년 취약점 분석/평가를 실시하여야 한다. 취약점 분석/평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응을 위한 종합적 개선과정이다.
주요정보통신기반시설 취약점 네트워크 장비 점검 항목
■ 취약점 개요
○ 점검개요 : DBMS 설정 중 일정 횟수의 로그인 실패 시 계정 잠금 정책에 대한 설정이 되어 있는지 점검
○ 점검목적 : 일정 횟수의 로그인 실패 시 계정 잠금 정책을 설정하여 비인가자의 자동화된 무작위 대입 공격, 사전 대입 공격 등을 통한 사용자 계정 패스워드 유출을 방지하기 위한 목적
○ 보안위협 : 일정한 횟수의 로그인 실패 횟수를 설정하여 제한하지 않으면 자동화된 방법으로 계정 및 패스워드를 획득하여 데이터베이스에 접근하여 정보를 유출
○ 점검대상 : Oracle, ALTIBASE, TIBERO 등
○ 판단기준
- 양호 : 로그인 시도 횟수를 제한하는 값을 설정한 경우
- 취약 : 로그인 시도 횟수를 제한하는 값을 설정하지 않은 경우
■ 점검방법 및 조치방안
○ Oracle
| Step 1 | 접근 횟수 제한을 위해 파라미터 설정 Failed_login_attempts 프로파일 파라미터 수정 SQL> ALTER PROFILE LIMIT FAILED_LOGIN_ATTEMPTS XXX; (XXX회 이하로 설정) |
| Step 2 | 프로파일 적용 SQL> connect / as sysdba SQL> @$Ora_Home/rdbms /admin/utlpwdmg. sql 또는, default profile에 unlimited로 설정하고 이 default 값을 적용하고자 하는 profile에 적용 SQL> Alter profile default limit password_lock_time unlimited; SQL> Alter profile [profile name] limit password_lock_time default; |
○ Altibase
- 조치방법 1. 사용자별 패스워드 정책 변경
| Step 1 | 다음 명령어를 통해 패스워드 정책 설정 여부 확인 select * from system_.sys_users_; |
| Step 2 | 아래 프로퍼티에 대해 패스워드 정책 설정 CASE_SENSITIVE_PASSWORD FAILED_LOGIN_ATTEMPTS PASSWORD_LOCK_TIME PASSWORD_LIFE_TIME PASSWORD_GRACE_TIME PASSWORD_REUSE_TIME PASSWORD_REUSE_MAX PASSWORD_VERIFY_FUNCTION |
※ 정책 적용 시 다음 명령어를 사용
ALTER USER 유저명 LIMIT (프러퍼티 숫자);
적용 예) ALTER USER TESTUSER LIMIT (FAILED_LOGIN_ATTEMPTS 7);
- 조치방법 2. ALTIBASE HDB 프러퍼티 파일
| Step 1 | ALTIBASE HDB 프러퍼티 파일 $ALTlBASE_HOME/conf/altibase.properties를 변경 |
※ ALTIBASE HDB 서버가 실행되지 않은 상태에서 할 수 있는 정적인 환경 설정 방법
※ 프로퍼티 파일에서 해당 구성 요소를 특정 값으로 설정한 후 ALTIBASE HDB 서버를 재구동해야 수정된 값이 ALTIBASE HDB 서버에 반영
○ Tibero
| Step 1 | 사용자별 패스워드 프로파일 적용 여부 확인 select * from dba_users; |
| Step 2 | 설정되어 있을 경우 프로파일 설정 내용 확인 select * from dba_profiles; |
| Step 3 | 설정되어 있지 않을 경우 프로파일 생성 시(또는 수정 시 alter profile) 패스워드 정책 설정 ※ 정책 적용 시 다음 명령어를 사용 CREATE PROFILE prof LIMIT 적용 예) CREATE PROFILE prof LIMIT failed_login_attempts 3 password_lock_time 1/1440 password_life_time 90 password_reuse_time unlimited password_reuse_max 10 password_grace_time 10 password_verify_function verify_function; |
■ 조치 시 영향
일반적으로 무관
'취약점 진단 가이드 > DBMS 취약점 진단 가이드' 카테고리의 다른 글
| D-13(중) 데이터베이스의 주요 설정파일, 패스워드 파일 등과 같은 주요 파일들의 접근 권한이 적절하게 설정 (0) | 2021.07.25 |
|---|---|
| D-12(하) DB의 주요 파일 보호 등을 위해 DB계정의 umask를 022 이상으로 설정하여 사용 (0) | 2021.07.24 |
| D-10(중) 불필요한 ODBC/OLE-DB 데이터 소스와 드라이브 제거 후 사용 (0) | 2021.07.22 |
| D-09(상) 리스너의 패스워드를 설정하여 사용 (0) | 2021.07.22 |
| D-08(상) DBA 이외의 인가되지 않은 사용자가 시스템 테이블에 접근할 수 없도록 설정 (0) | 2021.07.21 |