D-23(중) 보안에 취약하지 않은 버전의 데이터베이스를 사용

※ 해당 가이드는 2021년 기준입니다.

주요정보통신기반시설 관리기관은 -정보통신기반 보호법- 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월이내, 그리고 매년 취약점 분석/평가를 실시하여야 한다. 취약점 분석/평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응을 위한 종합적 개선과정이다.

주요정보통신기반시설 취약점 네트워크 장비 점검 항목

■ 취약점 개요

○ 점검개요 : 안전한 버전의 데이터베이스를 사용하고 있는지 점검

○ 점검목적 : 안전한 버전의 데이터베이스를 사용하여 알려진 보안 취약점으로 인한 공격을 차단이 목적

○ 보안위협 : 안전하지 않는 버전을 사용할 경우, 공격자가 시스템 권한 획득 등을할 수 있는 취약점이 존재

○ 점검대상 : Oracle, MSSQL, MySQL, ALTIBASE, TIBERO, PostgreSQL 등

○ 판단기준

- 양호 : 보안 패치가 적용된 버전을 사용하는 경우

- 취약 : 보안 패치가 적용되지 않는 버전을 사용하는 경우

 

■ 점검방법 및 조치방안

○ Oracle

Step 1	버전 확인(SQL*Plus) SQL> select * banner from v$version where banner like 'Oracle%‘;
Step 2	Oracle 최신 버전 확인 http://www.oracle.com/technetwork/database/enterprise-edition/downloads/index.html

○ MSSQL

Step 1	시스템에서 제품 버전 현황 확인   확인방법 1) SELECT@@version 확인방법 2) SELECT SERVERPROPERTY(‘productversion’), SERVERPROPERTY(‘productlevel’), SERVERPROPERTY(‘edition’)   ※ 출력 예시
Step 2	MSSQL 최신 버전 확인 http://support.microsoft.com/kb/321185/en-us

○ MySQL

Step 1	시스템에서 제품 버전 현황 확인   mysql> SELECT VERSION();
Step 2	MySQL 최신 버전 확인   버그 패치 된 릴리즈 사이트 http://downloads.mysql.com/archives.php

○ Altibase

Step 1	시스템에서 제품 버전 현황 확인 select * from v$database;
Step 2	Altibase 최신 패치 노트 확인 http://support.Altibase.com/kr/patch-note
Step 3	ㆍ패키지 인스톨러를 이용한 제품 패치 Altibase HDB 는 제품 패치를 위한 설치 파일이 따로 존재하지 않음. 인스톨러를 시작할 때 설치 형태를 풀(full) 패키지 또는 패치로 선택 가능   ㆍAltibase 고객지원서비스 포털 (http://support.Altibase.com八을 방문하여 본인의 운영 체제에 적합한 인스톨러를 다운로드 가능

○ Tibero

Step 1	시스템에서 제품 버전 현황 확인 tbboot -v
Step 2	Tibero 최신 패치 노트 확인 http://technet.tmaxsoft.com/

※ Tibero 패치 정책 (2015.02)
매 분기 초 픽스셋 발표(년간 총 4회 배포 / fixset: hot fix 모음)

○ PostgreSQL

Step 1	시스템에서 제품 버전 현황 확인 SELECT VERSION();
Step 2	PostgreSQL 최신 버전 확인 http://www.postgresql.org/support/security

 

■ 조치 시 영향

일반적으로 무관