D-24(하) Audit Table은 데이터베이스 관리자 계정으로만 접근하도록 설정

※ 해당 가이드는 2021년 기준입니다.

주요정보통신기반시설 관리기관은 -정보통신기반 보호법- 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월이내, 그리고 매년 취약점 분석/평가를 실시하여야 한다. 취약점 분석/평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응을 위한 종합적 개선과정이다.

주요정보통신기반시설 취약점 네트워크 장비 점검 항목

■ 취약점 개요

○ 점검개요 : Audit Table 접근 권한이 관리자 계정으로 제한되고 있는지 점검

○ 점검목적 : Audit Table 접근 권한을 관리자 계정으로 제한

○ 보안위협 : Audit Table이 데이터베이스 관리자 계정에 속하지 않을 경우, 비인가자가 감사 데이터의 수정, 삭제 등의 수행이 가능

○ 점검대상 : Oracle, ALTIBASE, TIBERO 등

○ 판단기준

- 양호 : Audit Table 접근 권한이 관리자 계정으로 설정한 경우

- 취약 : Audit Table 접근 권한이 일반 계정으로 설정한 경우

 

■ 점검방법 및 조치방안

○ Oracle, Tibero

Step 1	설정 확인(SQL*Plus) SQL〉Select owner from dba_tables where table_name=1 AUD$'; SYS 또는 SYSTEM이 아닌 계정이 나올 경우 확인 후 권한 삭제
Step 2	Audit table에 접근할 권한이 없는 계정이 확인 될 경우 권한 삭제

○ Altibase

- Altibase HDB 서버 내에서 실행되고 있는 특정 구문 또는 모든 구문을 실시간으로 추적하고, 로그를 남기는 것을 감사(Audit)라고 하며, SYS 사용자만이 이 구문을 사용해서 감사 조건을 설정 가능

Step 1	사용자 계정을 조회하여 SYSTEM., SYS의 USER_ID를 확인 select * from system_.sys_users_;
Step 2	시스템 테이블 조회 내용 중 AUDIT 관련 테이블 정보의 TABLE_ID 확인 (Step 1) 의 USER_ID와 동일한) select * from system_.sys_tables_;
Step 3	AUDIT 테이블에 권한 없는 계정이 부여되어 있을 경우 권한 삭제

○ Tibero

- 감사 기록은 $TB_SID.tip 파일에 설정된 AUDIT_TRAIL 파라미터에 따라 데이터베이스 내부 또는
OS 파일에 저장할 수 있음. OS 파일에 감사 기록을 저장하는 경우 파일의 위치와 최대 크기를
각각 $TB_SID.tip파일의 AUDIT_FILE_DEST 파라미터와 AUDIT_FILE_SIZE 파라미터로 설정 가능

 - 조치방법 1. 데이터베이스 내부에 감사 기록 저장

Step 1

<$TB_SID.tip> 파일에 아래 내용 입력 AUDIT_TRAIL=DB_EXTENDED 감사 기록에 포함되는 기본 정보 및 사용자가 실행한 SQL 문장까지 저장   ※ 다음 정적 뷰를 통해 감사 기록 조회가 가능 DBA_AUDIT_TRAIL (select * from dba_audit_trail;) USER_AUDIT_TRAIL (select * from user_audit_trail;)

- 조치방법 2. OS 파일에 감사 기록 저장

Step 1

<$TB_SID.tip> 파일에 아래 내용 입력 AUDIT_TRAIL=OS AUDIT_FILE_DEST=/home/Tibero/audit/audit_trail.log AUDIT_FILE_SIZE=10M 위와 같이 설정하면 ’’/home/Tibero/audit/audit_trail. log”에 최대 10MB의 크기로 감사 기록이 저장   ※ 감사 파일이 있는 디렉터리에는 일반사용자는 접근할 수 없도록 설정

 

■ 조치 시 영향

일반적으로 무관