하루에 하나씩

※ 이 글에서는 LINUX 기준으로만 작성하였습니다. 평가항목 ID 구분 평가항목 상세설명 주요 정보통신기반시설 취약점 분석 평가기준 (과학기술정보통신부고시) SRV-081 기술적 보안 Crontab 설정파일 권한 설정 미흡 cron은 특정 시간에 특정 작업을 수행할 수 있는 데몬으로 공격에 악용되거나 정보가 노출될 위협이 존재함. 이에 따라 cron 서비스를 보호하기 위해 서비스의 설정 파일들에 부여된 권한의 적절성을 점검 (상) [서비스 관리]U-22 crond 파일 소유자 및 권한 설정 (중) [서비스 관리]U-65 at 서비스 권한 설정 평가대상 (AIX) 평가대상 (HP-UX) 평가대상 (LINUX) 평가대상 (SOLARIS) 평가대상 (WIN) O O O O ● 점검목적 - 관리자 외 cron..

※ 이 글에서는 LINUX 기준으로만 작성하였습니다. 평가항목 ID 구분 평가항목 상세설명 주요 정보통신기반시설 취약점 분석 평가기준 (과학기술정보통신부고시) SRV-074 기술적 보안 불필요하거나 관리되지 않는 계정 존재 시스템 설치 시 기본으로 생성되는 계정, 업무상 더 이상 사용되지 않는 계정 등 불필요한 계정이나 장기간 비밀번호가 변경되지 않은 계정이 존재할 경우 비인가자의 계정 탈취 위협이 증가하므로 불필요한 계정 삭제 및 내부 정책에 따른 주기적인 비밀번호 변경을 실시하고 있는지 여부를 점검 (상) [계정 관리] U-49 불필요한 계정 제거 평가대상 (AIX) 평가대상 (HP-UX) 평가대상 (LINUX) 평가대상 (SOLARIS) 평가대상 (WIN) O O O O O ● 점검목적 - 불필요한..

※ 이 글에서는 LINUX 기준으로만 작성하였습니다. 평가항목 ID 구분 평가항목 상세설명 주요 정보통신기반시설 취약점 분석 평가기준 (과학기술정보통신부고시) SRV-073 기술적 보안 관리자 그룹에 불필요한 사용자 존재 시스템에 다수의 관리자 계정이 존재할 경우, 공격자가 탈취를 시도할 수 있는 관리자 계정이 많아지므로 관리자 그룹에 업무상 필요한 최소한의 사용자만 등록하여 사용하고 있는지 여부를 점검 (상) [계정 관리] U-50 관리자 그룹에 최소한의 계정 포함 평가대상 (AIX) 평가대상 (HP-UX) 평가대상 (LINUX) 평가대상 (SOLARIS) 평가대상 (WIN) O O O O O ● 점검목적 - 관리자 그룹에 최소한의 계정만 존재하는지 점검하여 불필요하게 권한이 남용되고 있는지 확인하기 ..

※ 이 글에서는 LINUX 기준으로만 작성하였습니다. 평가항목 ID 구분 평가항목 상세설명 주요 정보통신기반시설 취약점 분석 평가기준 (과학기술정보통신부고시) SRV-070 기술적 보안 취약한 패스워드 저장 방식 사용 취약한 패스워드 저장 방식을 사용할 경우, 공격자에게 계정의 로그인 정보가 탈취되어 악용될 위협이 존재하므로 관련 설정의 적절성 여부를 점검 (상) [계정 관리] U-04 패스워드 파일 보호 평가대상 (AIX) 평가대상 (HP-UX) 평가대상 (LINUX) 평가대상 (SOLARIS) 평가대상 (WIN) O O O O O ● 점검목적 - 일부 오래된 시스템의 경우 /etc/passwd 파일에 패스워드가 평문으로 저장되므로 사용자 계정 패스워드가 암호화되어 저장되어 있는지 점검하여 비인가자의 ..

※ 이 글에서는 LINUX 기준으로만 작성하였습니다. 평가항목 ID 구분 평가항목 상세설명 주요 정보통신기반시설 취약점 분석 평가기준 (과학기술정보통신부고시) SRV-069 기술적 보안 비밀번호 관리정책 설정 미비 사용자 비밀번호에 대한 관리정책 설정이 미흡할 경우 유추하기 쉬운 비밀번호 설정, 주기적인 비밀번호 미변경 등 비인가자에 의한 계정 탈취 가능성이 높아지는 위협이 존재하므로 적절한 비밀번호 관리정책이 설정되어 있는지 여부를 점검 (상) [서비스 관리] U-02 패스워드 복잡성 설정 (중) [계정 관리] U-46 패스워드 최소 길이 설정 (중) [계정 관리] U-47 패스우드 최대 사용 기간 설정 (중) [계정 관리] U-48 패스워드 최소 사용 기간 설정 평가대상 (AIX) 평가대상 (HP-U..

※ 이 글에서는 LINUX 기준으로만 작성하였습니다. 평가항목 ID 구분 평가항목 상세설명 주요 정보통신기반시설 취약점 분석 평가기준 (과학기술정보통신부고시) SRV-060 기술적 보안 웹 서비스 기본 계정(아이디 또는 비밀번호) 미변경 Tomcat은 Apache 웹 서버에 JSP와 자바 서블릿을 실행시킬 수 있는 기능을 제공하는 자바 애플리케이션 서버로 Tomcat이 설치될 때 기본으로 설정되는 계정을 변경하지 않을 경우 비인가자에 의한 시스템 접근이 발생할 수 있으므로 기본 계정에 대한 보안 설정의 적절성 여부를 점검 평가대상 (AIX) 평가대상 (HP-UX) 평가대상 (LINUX) 평가대상 (SOLARIS) 평가대상 (WIN) O O O O O ● 점검목적 - 웹 서비스의 기본 계정을 변경하지 않고..

※ 이 글에서는 LINUX 기준으로만 작성하였습니다. 평가항목 ID 구분 평가항목 상세설명 주요 정보통신기반시설 취약점 분석 평가기준 (과학기술정보통신부고시) SRV-048 기술적 보안 불필요한 웹 서비스 실행 웹 서비스는 구동 중일 경우 잠재적인 보안 취약점이 발생할 수 있고 흔히 공격의 목표가 되는 서비스이므로, 업무와 관계없이 불필요하게 활성화되어 있는지 여부를 점검 평가대상 (AIX) 평가대상 (HP-UX) 평가대상 (LINUX) 평가대상 (SOLARIS) 평가대상 (WIN) O O O O O ● 점검목적 - 업무와 관계없이 불필요한 웹 서비스가 활성화되어 있는지의 여부를 점검하고자 함 ● 보안위협 - 업무와 관계없는 웹 서비스가 활성화되어 있는 경우 평소 보안관리가 이루어지지 않아 외부 공격으로..

※ 이 글에서는 LINUX 기준으로만 작성하였습니다. 평가항목 ID 구분 평가항목 상세설명 주요 정보통신기반시설 취약점 분석 평가기준 (과학기술정보통신부고시) SRV-047 기술적 보안 웹 서비스 경로 내 불필요한 링크 파일 존재 웹 서버에 설정된 웹 서비스 루트 경로를 벗어나는 외부 링크 파일이 있다면, 공격자에 의한 비인가 접근 가능성이 존재하므로 불필요한 링크 파일 존재 여부를 점검 (상) [서비스 관리] U-39 웹서비스 링크 사용 금지 평가대상 (AIX) 평가대상 (HP-UX) 평가대상 (LINUX) 평가대상 (SOLARIS) 평가대상 (WIN) O O O O O ● 점검목적 - 무분별한 심볼릭 링크, aliases 사용제한으로 시스템 권한의 탈취 방지를 목적으로 함 ● 보안위협 - 웹 루트 폴..

※ 이 글에서는 LINUX 기준으로만 작성하였습니다. 평가항목 ID 구분 평가항목 상세설명 주요 정보통신기반시설 취약점 분석 평가기준 (과학기술정보통신부고시) SRV-046 기술적 보안 웹 서비스 경로 설정 미흡 웹 서비스 경로를 기타 업무와 영역이 분리되지 않은 경로로 설정하거나, 불필요한 경로가 존재할 경우 외부에서 시스템의 중요 파일이나 기능에 비인가 접근이 발생할 위협이 존재하므로 웹 서비스 경로 설정의 적절성을 점검 (상) [서비스 관리] U-41 웹서비스 영역의 분리 평가대상 (AIX) 평가대상 (HP-UX) 평가대상 (LINUX) 평가대상 (SOLARIS) 평가대상 (WIN) O O O O O ● 점검목적 - 웹 서비스 영역과 시스템 영역을 분리시켜서 웹 서비스의 침해가 시스템 영역으로 확장..

※ 이 글에서는 LINUX 기준으로만 작성하였습니다. 평가항목 ID 구분 평가항목 상세설명 주요 정보통신기반시설 취약점 분석 평가기준 (과학기술정보통신부고시) SRV-045 기술적 보안 웹 서비스 프로세스 권한 제한 미비 웹 서버에 대한 요청을 처리하는 프로세스의 권한을 제한하지 않을 경우, 취약점 존재 시 공격자가 해당 서버의 높은 권한을 획득 가능한 위협이 존재함. 웹 서버 요청을 처리하는 프로세스 권한이 적절하게 설정되어 있는지 여부를 점검 (상) [서비스 관리] U-36 웹서비스 웹 프로세스 권한 제한 평가대상 (AIX) 평가대상 (HP-UX) 평가대상 (LINUX) 평가대상 (SOLARIS) 평가대상 (WIN) O O O O O ● 점검목적 - Apache 데몬을 root 권한으로 구동하지 않고..