D-18(하) 인가되지 않은 Object Owner의 제한

※ 해당 가이드는 2021년 기준입니다.

주요정보통신기반시설 관리기관은 -정보통신기반 보호법- 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월이내, 그리고 매년 취약점 분석/평가를 실시하여야 한다. 취약점 분석/평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응을 위한 종합적 개선과정이다.

주요정보통신기반시설 취약점 네트워크 장비 점검 항목

■ 취약점 개요

○ 점검개요 : Object Owner가 인가된 계정에게만 존재하는지 점검

○ 점검목적 : Object Owner가 비인가자에게 존재하고 있을 경우 이를 제거하기 위함

○ 보안위협 : Object Owner는 SYS, SYSTEM과 같은 데이터베이스 관리자 계정과 응용 프로그 램의 관리자 계정에만 존재하여야 하며, 일반 계정이 존재할 경우 공격자가 이를 이용하여 Object의 수정, 삭제가 가능

○ 점검대상 : Oracle, ALTIBASE, TIBERO, PostgreSQL 등

○ 판단기준

- 양호 : Object Owner가 SYS, SYSTEM, 관리자 계정 등으로 제한된 경우

- 취약 : Object Owner가 일반 사용자에게도 존재하는 경우

 

■ 점검방법 및 조치방안

○ Oracle

Step 1

설정 확인(SQL*Plus) SQL〉Select distinct owner from dba_objects where owner not in (1 SYS', 1 SYSTEM', 'MDSYS','CTXSYS','ORDSYS1, ‘ORDPLUGINS’, 'AURORA$JIS$UTILITY$', ‘HR’, ‘ODM’ , ‘ODM_MTR’ ‘OE’ , ‘OLAPDBA' , 'OLA SYS’, 'OSE$HTTP$ADMIN‘ , 'OUTLN‘, ’LBACSYS‘, 'MTSYS’, 'PM‘, 'PUBLIC’, ‘QS’, ‘QS_ADM’, ‘rQS_CB1’ 'QS_CBADM', 'DBSNMP', 1QS_CS', 'QS_ES', 'QS_OS', ‘QS_WS,, 'RMAN’, ‘SH', 'WKSYS’, 'WMSYS', ‘XDB’ ) and owner not in (select grantee from dba_role_privs where granted_role='DBA');

Step 2

권한 취소 (SQL*Plus) (수정 전) SQL〉REVOKE Role FROM User; (수정 후) SQL〉REVOKE 권한 on 객체 FROM User;

○ Altibase

Step 1	사용자에게 부여된 객체 권한 정보를 확인 select * from system_. sys_grant_object_; select * from system_. sys_privileges_;
Step 2	부여된 권한 ID를 확인하여 불필요 권한은 회수 revoke 권한 on 객체 from 유저

○ Tibero

Step 1	데이터베이스 내 모든 스키마 객체 특권의 정보를 조회하여 인가받지 않은 객체 권한 소유자가 있는지 확인 select * from dba_tbl_privs;
Step 2	잘못된 객체 권한 소유자 발견 시 해제

○ PostgreSQL

Step 1	객체 권한 정보 확인 postgres=# select distinct relowner from pgclass where relowner not exists (select usename from pg_user where usesuper=TRUE);
Step 2	잘못된 객체 권한 소유자 발견 시 해제

 

■ 조치 시 영향

일반적으로 무관

 

■ Object(객체)

○ ALTER, DELETE, EXECUTE, INDEX, INSERT, SELECT 등