반응형

취약점 진단 가이드 259

D-13(중) 데이터베이스의 주요 설정파일, 패스워드 파일 등과 같은 주요 파일들의 접근 권한이 적절하게 설정

※ 해당 가이드는 2021년 기준입니다. 주요정보통신기반시설 관리기관은 -정보통신기반 보호법- 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월이내, 그리고 매년 취약점 분석/평가를 실시하여야 한다. 취약점 분석/평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응을 위한 종합적 개선과정이다. 주요정보통신기반시설 취약점 네트워크 장비 점검 항목 ■ 취약점 개요 ○ 점검개요 : 데이터베이스의 주요 파일들에 대해 관리자를 제외한 일반 사용자의 파일 수정 권한을 제거하였는지 점검 ○ 점검목적 : 데이터베이스의 주요 파일에 관리자를 제외한 일반 사용자의 파일 수정 권한을 제거함으로써 비인가자에 의한 DBMS 주요 ..

D-12(하) DB의 주요 파일 보호 등을 위해 DB계정의 umask를 022 이상으로 설정하여 사용

※ 해당 가이드는 2021년 기준입니다. 주요정보통신기반시설 관리기관은 -정보통신기반 보호법- 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월이내, 그리고 매년 취약점 분석/평가를 실시하여야 한다. 취약점 분석/평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응을 위한 종합적 개선과정이다. 주요정보통신기반시설 취약점 네트워크 장비 점검 항목 ■ 취약점 개요 ○ 점검개요 : 사용자 계정의 umask 설정이 022 이상으로 설정되어 있는지 점검 ○ 점검목적 : 소프트웨어 설치 때 생성되는 파일에 관리자를 제외한 일반 사용자의 파일 수정 권한을 제거함으로써 비인가자에 의한 DBMS 주요 파일 변경이나 삭제로부..

D-11(중) 일정 횟수의 로그인 실패 시 이에 대한 잠금정책 적용

※ 해당 가이드는 2021년 기준입니다. 주요정보통신기반시설 관리기관은 -정보통신기반 보호법- 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월이내, 그리고 매년 취약점 분석/평가를 실시하여야 한다. 취약점 분석/평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응을 위한 종합적 개선과정이다. 주요정보통신기반시설 취약점 네트워크 장비 점검 항목 ■ 취약점 개요 ○ 점검개요 : DBMS 설정 중 일정 횟수의 로그인 실패 시 계정 잠금 정책에 대한 설정이 되어 있는지 점검 ○ 점검목적 : 일정 횟수의 로그인 실패 시 계정 잠금 정책을 설정하여 비인가자의 자동화된 무작위 대입 공격, 사전 대입 공격 등을 통한 사..

D-10(중) 불필요한 ODBC/OLE-DB 데이터 소스와 드라이브 제거 후 사용

※ 해당 가이드는 2021년 기준입니다. 주요정보통신기반시설 관리기관은 -정보통신기반 보호법- 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월이내, 그리고 매년 취약점 분석/평가를 실시하여야 한다. 취약점 분석/평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응을 위한 종합적 개선과정이다. 주요정보통신기반시설 취약점 네트워크 장비 점검 항목 ■ 취약점 개요 ○ 점검개요 : 불필요한 ODBC/OLE-DB 데이터 소스와 드라이브 제거 여부 점검 ○ 점검목적 : 불필요한 데이터 소스 및 드라이버를 ODBC 데이터 소스 관리자 도구를 이용해 제거하여 비인가자에 의한 데이터베이스 접속 및 자료 유출을 차단 ○ 보..

D-09(상) 리스너의 패스워드를 설정하여 사용

※ 해당 가이드는 2021년 기준입니다. 주요정보통신기반시설 관리기관은 -정보통신기반 보호법- 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월이내, 그리고 매년 취약점 분석/평가를 실시하여야 한다. 취약점 분석/평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응을 위한 종합적 개선과정이다. 주요정보통신기반시설 취약점 네트워크 장비 점검 항목 ■ 취약점 개요 ○ 점검개요 : 오라클 데이터베이스 Listener의 패스워드 설정 여부 점검 ○ 점검목적 : Listener의 Owner는 DBA가 아니더라도 Listener를 shutdown 시키거나 DB 서버에 임의의 파일을 생성할 수 있으며, 원격에서 LSNR..

D-08(상) DBA 이외의 인가되지 않은 사용자가 시스템 테이블에 접근할 수 없도록 설정

※ 해당 가이드는 2021년 기준입니다. 주요정보통신기반시설 관리기관은 -정보통신기반 보호법- 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월이내, 그리고 매년 취약점 분석/평가를 실시하여야 한다. 취약점 분석/평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응을 위한 종합적 개선과정이다. 주요정보통신기반시설 취약점 네트워크 장비 점검 항목 ■ 취약점 개요 ○ 점검개요 : 시스템 테이블에 일반 사용자 계정이 접근할 수 없도록 설정되어 있는지 점검 ○ 점검목적 : 시스템 테이블의 일반 사용자 계정 접근 제한 설정 적용 여부를 점검하여 일반 사용자 계정 유출 시 발생할 수 있는 비인가자의 시스템 테이블 접근..

D-07(상) 원격에서 DB 서버로의 접속 제한

※ 해당 가이드는 2021년 기준입니다. 주요정보통신기반시설 관리기관은 -정보통신기반 보호법- 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월이내, 그리고 매년 취약점 분석/평가를 실시하여야 한다. 취약점 분석/평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응을 위한 종합적 개선과정이다. 주요정보통신기반시설 취약점 네트워크 장비 점검 항목 ■ 취약점 개요 ○ 점검개요 : 지정된 IP주소만 DB 서버에 접근 가능하도록 설정되어 있는지 점검 ○ 점검목적 : 지정된 IP주소만 DB 서버에 접근 가능하도록 설정되어 있는지 점검하여 비인가자의 DB 서버 접근을 원천적으로 차단 ○ 보안위협 : DB 서버 접속 시..

D-06(중) DB 사용자 계정의 개별적 부여 및 사용

※ 해당 가이드는 2021년 기준입니다. 주요정보통신기반시설 관리기관은 -정보통신기반 보호법- 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월이내, 그리고 매년 취약점 분석/평가를 실시하여야 한다. 취약점 분석/평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응을 위한 종합적 개선과정이다. 주요정보통신기반시설 취약점 네트워크 장비 점검 항목 ■ 취약점 개요 ○ 점검개요 : DB 접근 시 사용자 별로 서로 다른 계정을 사용하여 접근하는지 점검 ○ 점검목적 : 사용자별 별도 DBMS 계정을 사용하여 DB에 접근하는지 점검하여 DB 계정 공유 사용으로 발생할 수 있는 로그 감사 추적 문제를 대비 ○ 보안위협 ..

D-05(중) 패스워드 재사용에 대한 제약 설정

※ 해당 가이드는 2021년 기준입니다. 주요정보통신기반시설 관리기관은 -정보통신기반 보호법- 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월이내, 그리고 매년 취약점 분석/평가를 실시하여야 한다. 취약점 분석/평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응을 위한 종합적 개선과정이다. 주요정보통신기반시설 취약점 네트워크 장비 점검 항목 ■ 취약점 개요 ○ 점검개요 : 패스워드 변경 시 이전 패스워드를 재사용 할 수 없도록 패스워드 제약 설정이 되어 있는지 점검 ○ 점검목적 : 패스워드 재사용 제약 설정 적용 여부를 점검하여 패스워드 변경 시 이전 패스워드 재사용을 제약하여 형식적인 패스워드 변경을 ..

D-04(상) 데이터베이스 관리자 권한을 꼭 필요한 계정 및 그룹에 허용

※ 해당 가이드는 2017년 기준입니다. 주요정보통신기반시설 관리기관은 -정보통신기반 보호법- 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월이내, 그리고 매년 취약점 분석/평가를 실시하여야 한다. 취약점 분석/평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응을 위한 종합적 개선과정이다. 주요정보통신기반시설 취약점 네트워크 장비 점검 항목 ■ 취약점 개요 ○ 점검개요 : 관리자 권한이 필요한 계정 및 그룹에만 관리자 권한을 부여하였는지 점검 ○ 점검목적 : 관리자 권한이 필요한 계정과 그룹에만 관리자 권한을 부여하였는지 점검하여 관리자 권한의 남용을 방지하여 계정 유출로 인한 비인가자의 DB 접근 가능..