정보보안 질문(점검 항목, 취약점)

1. 기타 질문 내용 (각 항목에 대한 설명, 체크방법, 시나리오(해킹, 방어) 작성)

기타 질문 내용

1. WEB/WAS(Tomcat) 점검 항목  1) 접근 관리     - 관리자 페이지 접근 제어     - 관리자 계정명 변경     - 관리자 패스워드 관리    2) 설정 관리     - 디렉터리 리스팅 제한     - 에러 메시지 관리     - 응답 메시지 관리     - HTTP Method 제한     - 접근 로그 활정화    3) 파일 및 드렉터리 관리     - 홈 디렉토리 쓰기 권한 관리     - 설정파일 권한 관리     - 로그 디렉터리 권한 관리     - Sample 디렉터리 관리    4) 패치 관리     - 최신 보안패치 적용

 

2. 기타 질문 내용 (각 항목에 대한 설명, 체크방법, 시나리오(해킹, 방어) 작성)

기타 질문 내용

1. WEB/WAS(Apache) 점검 항목 1) 접근관리 - 데몬 시스템 권한 관리 - 파일 업로드 및 다운로드 제한 - 웹 서비스 영역의 분리   2) 설정관리 - 디렉터리 리스팅 제한 - 에러 메시지 관리 - 응답 메시지 관리 - HTTP Method 제한 - 링크 사용 금지 - 상위 디렉터리 접근 금지 - CGI 스크립트 실행 제한 - 접근 로그 활성화   3) 파일 및 디렉터리 관리 - 디렉터리 쓰기 권한 관리 - 설정파일 권한 관리 - 로그 디렉터리 권한 관리 - Sample 디렉터리 제거   4) 패치관리 - 최신 보안패치 적용

 

3. 기타 질문 내용  (각 항목에 대한 설명, 체크방법, 시나리오(해킹, 방어) 작성)

기타 질문 내용

1. WEB/WAS(JBoss) 점검 항목  1) 접근 관리    - 관리자 페이지 접근 제어    - 관리자 계정명 변경    - 관리자 패스워드 관리    2) 설정 관리    - 디렉터리 리스팅 제한    - 에러 메시지 관리    - 응답 메시지 관리    - HTTP Method 제한    - 접근 로그 활성화    3) 파일 및 디렉터리 관리    - 홈 디렉터리 쓰기 권한 관리    - 설정파일 권한 관리    - 로그 디렉터리 권한 관리    - Sample 디렉터리 제어    4) 패치 관리    - 최신 보안패치 적용

 

4. 기타 질문 내용 (각 항목에 대한 설명, 체크방법, 시나리오(해킹, 방어) 작성)

기타 질문내용

1. WEB/WAS(JEUS) 점검 항목  1) 접근 관리    - 관리자 페이지 접근 제어    - 관리자 계정명 변경    - 관리자 패스워드 관리    2) 설정 관리    - 에러 메시지 관리    - 응답 메시지 관리    - 접근 로그 활성화    3) 파일 및 디렉터리 관리    - 홈 디렉터리 쓰기 권한 관리    - 설정파일 권한 관리    - 로그 디렉터리 권한 관리    - Sample 디렉터리 제어    4) 패치 관리    - 최신 보안패치 적용

 

5. 기타 질문 내용 (각 항목에 대한 설명, 체크방법, 시나리오(해킹, 방어) 작성)

기타 질문 내용

1. WEB/WAS(Weblogic) 점검 항목  1) 접근 관리    - 관리자 페이지 접근 제어    - 관리자 계정명 변경    - 관리자 패스워드 관리    2) 설정 관리    - 디렉터리 리스팅 제한    - 에러 메시지 관리    - 응답 메시지 관리    - HTTP Method 제한    - 접근 로그 활성화    3) 파일 및 디렉터리 관리    - 홈 디렉터리 쓰기 권한 관리    - 설정파일 권한 관리    - 로그 디렉터리 권한 관리    - Sample 디렉터리 제어    4) 패치 관리    - 최신 보안패치 적용

 

6. 기타 질문 내용 (각 항목에 대한 설명, 체크방법, 시나리오(해킹, 방어) 작성)

기타 질문 내용

1. WEB/WAS(iPlanet) 점검 항목  1) 서비스 관리    - 데몬 관리    2) 설정 관리    - 디렉터리 리스팅 제한    - 에러 메시지 관리    - 응답 메시지 관리    - HTTP Method 제한    - 접근 로그 활성화    3) 파일 및 디렉터리 관리    - 파일 시스템 진단    - 사용자별 홈 디렉터리 권한 설정    - 로그 디렉터리 권한 관리    - Sample 디렉터리 제어    4) 패치 관리    - 최신 보안패치 적용

 

7. 기타 질문 내용 (각 항목에 대한 설명, 체크방법, 시나리오(해킹, 방어) 작성)

기타 질문 내용

1. WEB/WAS(IIS) 점검 항목  1) 파일 관리    - 불필요한 파일 제거    2) 환경 설정    - 오류 페이지 설정    - 스크립트 오류 메시지 설정    - 미사용 그크립트 매핑 제거    - 디렉터리 리스팅 설정    - DB 연결 취약점 점검    - Anonymous FTP 금지    - WebDAV 비활성화    - 커넥션 스트링 암호화    - 상위 디렉터리 접근금지    3) 로그 관리    - 파일 시스템 진단    - 사용자별 홈 디렉터리 권한 설정    4) 보안 관리    - 최신 패치 적용

 

8. 기타 질문 내용 (각 항목에 대한 설명, 체크방법, 시나리오(해킹, 방어) 작성)

기타 질문 내용

1. WEB/WAS(WebtoB) 정검항목 1) 서비스 관리 - 데몬 관리   2) 설정 관리 - 디렉터리 리스팅 제한 - 에러 메시지 관리 - 응답 메시지 관리 - HTTP Method 제한 - 접근 로그 활성화   3) 파일 및 디렉토리 관리 - 홈 디렉터리 쓰기 권한 관리 - 설정파일 권한 관리 - 로그 디렉터리 권한 관리 - Sample 디렉터리 제거   4) 패치 관리 - 최신 보안패치 적용

 

9. 기타 질문 내용 (각 항목에 대한 설명, 체크방법, 시나리오(해킹, 방어) 작성)

기타 질문 내용

1. 모바일 앱 점검 항목    1) 앱 위/변조 관리       - 소스코드 난독화 및 암호화       - 앱 무결성 검증       - 디바이스 임의 개조 탐지      2) 인증 관리       - 자동 로그인       - 동시 로그인       - 패스워드 복잡도 검증       - 미흡한 세션 관리         3) 정보 관리       - 중요 정보 입력 보호 메커니즘 적용       - 중요 정보 평문 저장       - 중요 정보 평문 전송       - 중요 정보 공유       - 디버깅을 통한 중요 정보 노출       - 예외 처리      4) 기능 관리       - 앱 서버에서 발생할 수 있는 취약점       - 인젝션       - 웹 파라미터 변조       - 디렉터리 접근 공격       - Cross-Site Scripting       - intent-filter의 올바른 설정       - 백신 프로그램 적용

 

10. 기타 질문 내용 (각 항목에 대한 설명, 체크방법, 시나리오(해킹, 방어) 작성)

기타 질문 내용

1. Windows 서버 정검 항목    1) 계정관리       - 관리자 그룹에 최소한의 사용자 포함       - Guest 계정 비활성화       - 패스워드 복잡성 설정       - 계정 잠금 임계값 설정       - 패스워드 최소 암호 길이       - 패스워드 최소 사용 기간       - 패스워드 최대 사용 기간       - 최근 암호 기억       - 취약한 패스워드 사용       - UAC 권한 설정      2) 접근제어       - 하드디스크 기본 공유 제거       - 원격으로 엑세스할 수 있는 레지스트리 경로       - SAM 게정과 공유의 익명 열거 허용 안 함       - 화면보호기설정      3) 시스템 보안       - 파일 및 디렉터리 보호       - 사용자별 홈 디렉터리 권한 설정       - 시작프로그램 목록 분석       - AutoLogon 기능 제어       - SAM 파일 접근 통제 설정       - 원격 시스템에서 강제로 시스템 종료      4) 서비스 보안       - 경고 메시지 설정       - 마지막 사용자 이름 표시 안함       - Anonymous FTP 금지       - SNMP 서비스 커뮤니티스트링의 복작성 설정      5) 모니터링 및 기타관리       - 정책에 따른 시스템 로깅 설정       - 이벤트 로그 관리 설정       - 원격에서 이벤트 로그 파일 접근 차단       - 안티바이러스 프로그램 설치       - 안티바이러스 실시간 보호 기능       - 안티바이러스 프로그램 업데이트      6) 보안 패치       - 최신 서비스팩 적용       - 최신 HOT FIX 적용

 

11. 기타 질문 내용 (각 항목에 대한 설명, 체크방법, 시나리오(해킹, 방어) 작성)

기타 질문 내용

1. 서버(UNIX) 점검항목  1) 계정 및 비밀번호 관리    - 로그인 설정    - root 이외의 UID가 0인 계정 존재여부    - 불필요 계정 존재 여부(Default 계정)    - Shell 제한    - passwd 파일 권한 설정    - group 파일 권한 설정    - shadow 파일 권한 설정    - 비밀번호의 최소 길이 제한 설정    - 비밀번호의 최대 사용 기간 설정    - 취약한 비밀번호 존재여부    2) 접근 제어    - 일반 사용자의 su 명령 제한    - root 계정 Telnet 제한    - root 계정 ftp 접속 제한    - 익명 FTP(Anonymous FTP)를 제한    - 세션 타임아웃을 설정    - r-commands 제한    - NFS 공유관련 취약점을 제거 여부    3) 시스템 보안    - Crontab 관련 파일에 대한 접근 제한    - PATH 환경 변수 설정    - UMASK 설정    - hosts 파일의 권한 설정    - inetd.conf 파일의 권한 설정    - hosts.equiv 파일의 권한 설정    4) 서비스 보안    - 서비스 파일권한 설정    - 기타 서비스 설정    - 서비스 Banner 관리    - SNMP 서비스 설정(Community String)    5) 로그관리 및 보안패치    - Syslog 기록 설정    - su 로그를 기록 설정    - 보안 패치

 

 

12. 기타 질문 내용 (각 항목에 대한 설명, 체크방법, 시나리오(해킹, 방어) 작성)

기타 질문 내용

1. 취약점 항목 관리  1) 서비스 훼손    - 자연재해 중분류     - 환경 관리 실패     - 서비스 중단 및 지연     - 정보 및 정보처리 기능 손상     - 비인가 소프트웨어의 유입    2) 정보 수집/유출     - 스캐닝(Scanning)     - 도청(Eavesdropping)    - 스니핑(Sniffing)     - 요정보 유출     - 인증 정보 수집     3) 무결성 손상     - 변조/손상     4) 비인가 접근    - 시스템 내에서 비인가 권한 상승     - 비인가 접근     - 비인가 Dial-In 접근 (PSTN or ISDN)    - 비인가 물리적 접근    5) 사후 대응    - 부인    - 법규제 미준수    6) 인적 위협   - 내부 인적 위협    - 외부 인적 위협    7) 정보 수집/유출     - 정보 수집/유축_분류

 

13. 기타 질문 내용 (각 항목에 대한 설명, 체크방법, 시나리오(해킹, 방어) 작성)

기타 질문 내용

1. 웹 어플리케이션 점검 항목   1) Injection      - SQL 인젝션        => XPath 인젝션      - OS 명령어 인젝션     2) 제한되지 않은 스크립트 실행     - Cross-Site Scripting (XSS)     - Cross-Site Request Forgery (CSRF)     3) 쿠키 / 세션 관리     - 쿠키 상의 정보 노출 및 변조 기능     - 쿠키 / 세션 설계 및 설정 취약점       => 세션 예측       => 세션 만료       => 다중 접속     4) 사용자 인증 관리     - 취약한 계정 / 패스워드 사용     - 취약한 패스워드 찾기 기능     - 본인 확인 우회 기능     5) 불안전한 직접개체 참조     - 알려진 파일 및 디렉터리 노출     - 관리자 페이지 노출     6) URL / 파라미터 변조     - 웹 파라미터 변조     - 신뢰되지 않는 URL 주소로의 자동 접속 연결     - 제한되지 않은 파일 다운로드     7) 취약한 설정 및 설계     - 제한되지 않은 파일 업로드     - 취약한 서비스 헤더 설정     - 디렉터리 인덱싱     - 자동화 공격     - 기능상의 오류     8) 불안전한 암호화     - 중요정보 평문전송     - 중요정보 평문노출     9) 정보 노출     - 서버 정보 노출     - 불일치를 통한 정보노출     - 에러메시지를 통한 정보노출     - 개인정보노출

 

14. 기타 질문 내용 (각 항목에 대한 설명, 체크방법, 시나리오(해킹, 방어) 작성)

기타 질문 내용

1. SQL Injection 점검 항목    1) SQL Injection      - Error-Based : SQL 오류를 유발하는 공격 기법      - Union-Based : Union을 이용하여 Query를 추가하여 공격하는 기법      2) Blind SQL Injection      - Content-Based : 참/거짓의 입력에 대하여 응답에 대하여 정보를 추즉하는 공격기법      - Time-Based : 참/거짓의 경우에 처리되는 시간차를 이용하여 정보를 추죽하는 공격 기법      3) 관련 기술들      - Stored Procedure : 저장 프로시저(xp_cmdshell 등)를 이용한 우회하는 기법      - Cookie-Based : cookie 값에 코드를 삽입하여 공격하는 기법      - Hex-Based : hex 값을 이용하여 특수기호 필터링을 우회하는 기법      - Stacked Query : 하나의 트랙잰셕에 많은 쿼리를 사용하는 공격하는 기법

 

25. 기타 질문 내용 (각 항목에 대한 설명, 체크방법, 시나리오(해킹, 방어) 작성)

기타 질문 내용

1. Targeting 공격 절차 (APT)    1) Initial Compromise : 내가 목표로하는 타겟 조직에 침투와 절차       - 계정도용       - 악성코드 감염       - 악성코드 감염 경로 : Email(악성파일 및 악성 URL 첨부) -> 소프트 익스플로잇(사회공학 용어 : 스피어피싱)                                    : 웹사이트                                    : 로컬 네트워크 통한 전의 (랜섬웨어 워나크라이 / 최조는 이메일로 시작해서 로컬에서 웜방식으로 공격)                                    : USB Thumb    2) Establish Foothold : 추가 공격 도구를 다운로드 한다. (활동하기 좋은 저장소에 가져다 놓는다.)    3) Privilege Escalation : Exploite (권한상승 취약점)        - Windows UAC    4) Internal Reconnaissance : 내부 정찰         -  Scanning -> Live host (ARP를 조금씩 체크를 한다.)         -  port scan         -  참고 : NMAP같은 패킷을 많이 남기는 도구는 탐지(Detection) 당하기 쉽다.         -  참고 : ICMP는 윈도우에 기본적으로 닫혀 있다.                                        5) Lateral Movement : 제어 권한을 회득한 시스템과 주변의 로컬 시스템들을 제어권한 회득         - 패킷릴레이, 패킷스니핑, Credential 수집         - 참고(tool) : mimikatz ( 사용자의 메모리를 가지고 온다.)         - cifs, netbios를 이용한 파일업로드 및 실행    6) Maintain Presence : 제어 권한 유지                                   : 레지스트리 조작                                   : Task Schedule                                   : WMI Rrepository    7) Complete Mission : 정보 수집  2. APT 분석을 위한 알아야할 기술 및 지식    1) 디스크의 파티션(볼륨) 구조와 손상된 VBR 복원 방법    2) 윈도우 레지스트리의 구조와 관련 파일 추출, 분석 방법    3) 브라우저별 사용자 방문기록 관련 파일 분석 방법    4) 윈도우의 Prefetch/Superfetch 분석 방법    5) 악성코드 분석 (동적분석, 정적분석) 방법    6)  winhex, forecoyp_handy, The Sleuth kit, NTFS Log Tracker, reg ripper, REGA, WinPregetchVie, IDA, Sysinternals Suites   3. 기타    1) Defense-In depth : 보안방어는 한가지만 하면 안되고 계속적으로 견고한 마지 노선을 만들어 놓아야 한다.    2) UAC : 윈도우 비스트 부터 적용됨    3) Tool : REMNUX (우분트 기반의 포렌식 도구를 모아놓은 이미지)    4) exploit           - 소프트웨어의 잠재되어있는 취약점을 유발(trigging) 시키는 코드, 데이터의 집합을 말한다.      - 주입지점(인젝션벡터)     - 쉘코드를 실행 시키기 위해서 사전 작업을 하는 것이 익스플로잇 이다.     - buffer overflow, use after free, format string, null pointer reference ... (취약점을 유발시키는 것이 익스플로잇 이다.)    5) shellcode     - 소프트웨어에 의해서 임의로 실행되는 기계어코드 혹은 시스템 명령어 집합     - 악성코드를 다운받는 역할은 쉘코드가 하는 것이다.      - reverse remote shell, bind remote shell, download & ececute , remote vnc, meterpreter (reverse)    6) Tool : Wollf (악성코드 생성기)    7) 기술 문서  : Cyber Kill-Chain , Rasheed Martin (록히트마틴 발간)    8) hammertess : APT28 해킹 그룹이 상요하는 보고서    9) Inject vector : 공격을 시도할수 있는 지점    10) user agent string    11) Packet Relay    12) Artifact(아티팩트) : 운영제제나 소프트웨어가 동작하면서 생성되는 디지털 데이터들.                       : 윈도우 이벤트로그, 레지스트리, Prefetch/Superfetch, 파일시스템 메타정보, 물리메모리, 네트워크 연결정보 ...                       : IR Script (Incident Response Script) -> 호스트에 존재하는 아티팩트를 한꺼번에 수집할 수 있는 자동화 도구                       : BAT, SH, PS, PY 등의 다양한 포맷     13) Tool : SQLMAP (sql injection tool)    14) Tool : FTK_imager    15) Tool : X-ways_winhex    16) GPT, MBR, Partition Table, NTFS, FAT32, Slack space, VBR    17) Tool : forecoy    18) Tool : REGA    19) Tool : regripper    20) Tool : sysinternalssuite

​

26. 기타 질문 내용 (각 항목에 대한 설명, 체크방법, 시나리오(해킹, 방어) 작성)

기타 질문 내용

1. 데이터베이스(Tibero) 점검 항목  1) 계정관리   - 기본 계정의 패스워드, 정책을 변경하여 사용   - scott 등 Demonstration 및 불필요 계정을 제거하거나 잠금 설정 후 사용   - 패스워드의 사용기간 및 복잡도 기관 정책에 맞도록 설정   - 데이터베이스 관리자 권한을 꼭 필요한 계정 및 그룹에 허용   - 패스워드 재사용에 대한 제약   - DB 사용자 계정 개별적 부여    2) 접근관리   - 원격에서 DB서버의 접속 제한   - DBA 이외의 인가되지 않은 사용자 시스템 테이블 접근 제한 설정   - 불필요한 ODBC/OLE-DB 데이터 소스와 드라이브 제거   - 일정 횟수의 로그인 실패 시 잠금 정책 설정   - 데이터베이스의 주요 파일 보호 등을 위해 DB 계정의 umask를 022 이상으로 설정   - 데이터베이스의 주요 설정파일, 패스워드 파일 등 주요 파일들의 접급 권한 설정    3) 옵션관리   - 응용 프로그램 또는 DBA 계정의 Role이 Public으로 설정되지 않도록 조정   - 패스워드 확인함수가 설정되어 적용되는가?   - 인가되지 않은 Object Owner가 존재하지 않는가?   - grant options이 role에 의해 부여되도록 설정   - 데이터베이스의 접근, 변경, 삭제 등의 감사기록이 기관의 감사기록 정책에 접합하도록 설정     4) 패치관리   - 최신 패치 적용 점검    - 보안에 취약하지 않은 버전의 데이터베이스를 사용하고 있는가?  5) 로그관리   - Audit Table은 데이터베이스 관리자 계정에 속해 있도록 설정      6) 위협관리   - 세션 Idle Timeout 설정   - CREATE ANY DIRECTORY 권한 제한   - OS DBA그룹의 관리자 이외의 멤버 확인   - 백업관리   - PL/SQL Packages의 사용 제한

 

27. 기타 질문 내용 (각 항목에 대한 설명, 체크방법, 시나리오(해킹, 방어) 작성)

기타 질문 내용

1. 데이터베이스(MySQL) 점검항목  1) 계정 관리   - 기본 계정의 패스워드, 정책 등을 변경하여 사용   - scott 등 Demonstration 및 불필요 계정을 제거하거나 잠금 설정 후 사용   - 패스워드의 사용기간 및 복잡도 기관 정책에 맞도록 설정   - 데이터베이스 관리자 권한을 꼭 필요한 계정 및 그룹에 허용   - DB 사용자 계정 개별적 부여    2) 접근 관리   - 원격에서 DB 서버로의 접속 제한   - DBA이외의 인가되지 않은 사용자 시스템 테이블 접근 제한 설정   - 불필요한 ODBC/OLE-DB 데이터 소스와 드라이브 제거   - 데이터베이스의 주요 설정파일, 패스워드 파일 등 주요 파일들의 접근 권한 설정    3) 옵션 관리   - grant option이 role에 의해 부여되도록 설정    4) 패치 관리   - 데이터베이스에 대한 최신 보안패치와 권고 사항을 모두 적용   - 데이터베이스의 접근, 변경, 삭제 등의 감사기록이 기관의 감사기록 정책에 접합하도록 설정   - 보안 취약하지 않은 버전의 데이터베이스를 사용하고 있는가?    5) 위협 관리   - 개발 및 운영시스템 분리 사용   - root 권한으로 MySQL 서버 구동 제한    6) 권고 사항   - 백업 관리

 

28. 기타 질문 내용 (각 항목에 대한 설명, 체크방법, 시나리오(해킹, 방어) 작성)

기타 질문 내용

1. 데이터베이스(DB2) 점검 항목  1) 계정 관리   - 기본 계정의 패스워드, 정책 등을 변경하여 사용   - scott 등 Demonstration 및 불필요 계정을 제거하거나 잠금 설정 후 사용   - 패스워드의 사용기간 및 복잡도 기관 정책에 맞도록 설정   - 데이터베이스 관리자 권한을 꼭 필요한 계정 및 그룹에 허용   - 패스워드 재사용에 대한 제약   - DB 사용자 계정 개별적 부여    2) 접근 관리   - 원격에서 DB 서버로의 접속 제한   - DBA이외의 인가되지 않은 사용자 시스템 테이블 접근 제한 설정   - 불필요한 ODBC/OLE-DB 데이터 소스와 드라이브 제거   - 일정 횟수의 로그인 실패 시 잠금 정책 설정   - 데이터베이스의 주요 파일 보호 등을 위해 DB 계정의 umask를 022 이상으로 설정   - 데이터베이스의 주요 설정파일, 패스워드 파일 등 주요 파일들의 접근 권한 설정    3) 옵션 관리   - 응용 프로그램 또는 DBA 계정의 Role이 Public으로 설정되지 않도록 조정   - grant option이 role에 의해 부여되도록 설정    4) 패치 관리   - 최신 패치 적용 점검   - 데이터베이스의 접근, 변경, 삭제 등의 감사기록이 기관의 감사기록 정책에 접합하도록 설정   - 보안 취약하지 않은 버전의 데이터베이스를 사용하고 있는가?    5) 위협 관리   - 세선 Idle Timeout 설정   - 백업 관리

 

29. 기타 질문 내용 (각 항목에 대한 설명, 체크방법, 시나리오(해킹, 방어) 작성)

기타 질문 내용

1. 데이터베이스(Oracle) 점검 항목  1) 계정관리   - 기본 계정의 패스워드, 정책을 변경하여 사용   - scott 등 Demonstration 및 불필요 계정을 제거하거나 잠금 설정 후 사용   - 패스워드의 사용기간 및 복잡도 기관 정책에 맞도록 설정   - 데이터베이스 관리자 권한을 꼭 필요한 계정 및 그룹에 허용   - 패스워드 재사용에 대한 제약   - DB 사용자 계정 개별적 부여    2) 접근관리   - 원격에서 DB서버의 접속 제한   - DBA 이외의 인가되지 않은 사용자 시스템 테이블 접근 제한 설정   - 불필요한 ODBC/OLE-DB 데이터 소스와 드라이브 제거   - 일정 횟수의 로그인 실패 시 잠금 정책 설정   - 데이터베이스의 주요 파일 보호 등을 위해 DB 계정의 umask를 022 이상으로 설정   - 데이터베이스의 주요 설정파일, 패스워드 파일 등 주요 파일들의 접급 권한 설정   - 관리자 이외의 사용자가 오라클 리스너의 접속을 통해 리스너 로그 및 trace 파일에 대한 변경 권한 제한    3) 옵션관리   - 응용 프로그램 또는 DBA 계정의 Role이 Public으로 설정되지 않도록 조정   - OS_ROLES, REMOTE_OS_AUTHENTICATION, REMOTE_OS_ROLES를 FALSE로 설정   - 패스워드 확인함수가 설정되어 적용되는가?   - 인가되지 않은 Object Owner가 존재하지 않는가?   - grant options이 role에 의해 부여되도록 설정   - 데이터베이스의 자원 제한 기능을 TRUE로 설정   - 데이터베이스의 접근, 변경, 삭제 등의 감사기록이 기관의 감사기록 정책에 접합하도록 설정     4) 패치관리   - 최신 패치 적용 점검    - 보안에 취약하지 않은 버전의 데이터베이스를 사용하고 있는가?    5) 로그관리   - Audit Table은 데이터베이스 관리자 계정에 속해 있도록 설정      6) 위협관리   - 세션 Idle Timeout 설정   - SYSDBA 로그인 제한 설정   - 데이터베이스 링크 패스워드 암호화   - PL/SQL Packages의 사용 제한

 

30. 기타 질문 내용 (각 항목에 대한 설명, 체크방법, 시나리오(해킹, 방어) 작성)

기타 질문 내용

1. 데이터베이스(MSSQL) 점검 항목  1) 계정관리   - 기본 계정의 패스워드, 정책을 변경하여 사용   - scott 등 Demonstration 및 불필요 계정을 제거하거나 잠금 설정 후 사용   - 패스워드의 사용기간 및 복잡도 기관 정책에 맞도록 설정   - 데이터베이스 관리자 권한을 꼭 필요한 계정 및 그룹에 허용   - 패스워드 재사용에 대한 제약   - DB 사용자 계정 개별적 부여    2) 접근관리   - 원격에서 DB서버의 접속 제한   - DBA 이외의 인가되지 않은 사용자 시스템 테이블 접근 제한 설정   - 불필요한 ODBC/OLE-DB 데이터 소스와 드라이브 제거   - 일정 횟수의 로그인 실패 시 잠금 정책 설정   - 데이터베이스의 주요 설정파일, 패스워드 파일 등 주요 파일들의 접급 권한 설정    3) 옵션관리   - grant options이 role에 의해 부여되도록 설정   - 데이터베이스의 접근, 변경, 삭제 등의 감사기록이 기관의 감사기록 정책에 접합하도록 설정     4) 패치관리   - 최신 패치 적용 점검    - 보안에 취약하지 않은 버전의 데이터베이스를 사용하고 있는가?     5) 위협관리   - Procedure 사용 제한   - CLR 통합기능 제한 점검   - 데이터베이스 간 소유권 체인 사용제한 점검 [출처] [보안 면접] 정보보안 면접내용|작성자 웃는개발자