문서유형ㅣ기술 정보
분야ㅣ보안
적용제품버전ㅣTibero6, Tibero7
문서번호ㅣTSETI011
개요
| 분류 | 점검 항목 | 중요도 | 코드 |
|---|---|---|---|
| 계정 관리 | 기본 계정의 패스워드, 권한 등을 변경하여 사용 | 상 | D-01 |
| 데이터베이스의 불필요 계정을 제거하거나, 잠금설정 후 사용 | 상 | D-02 | |
| 패스워드의 사용기간 및 복잡도를 기관 정책에 맞도록 설정 | 상 | D-03 | |
| 데이터베이스 관리자 권한을 꼭 필요한 계정 및 그룹에 허용 | 상 | D-12 | |
| 패스워드 재사용에 대한 제약 설정 | 중 | D-13 | |
| DB 사용자 계정을 개별적으로 부여하여 사용 | 중 | D-05 |
본 문서에서는 "계정관리-기본 계정의 패스워드, 권한 등을 변경하여 사용(D-01)" 항목에 대한 보안취약점 조치 방안에 대해 기술하였습니다.
점검 내용 및 목적
- DBMS 기본 계정의 디폴트 패스워드 및 권한 정책을 변경하여, 사용하는지 점검합니다.
- DBMS 기본 계정의 디폴트 패스워드 및 권한 정책 변경 사용 유무를 점검하여 비인가자의 디폴트 패스워드 대입 공격을 차단하고 있는지 확인하기 위함입니다.
점검 판단 기준
| 기준 | 내용 |
|---|---|
| 양호 | 기본 계정의 디폴트 패스워드 및 권한 정책을 변경하여 사용하는 경우 |
| 취약 | 기본 계정의 디폴트 패스워드 및 권한 정책을 변경하지 않고 사용하는 경우 |
조치 전 주의사항
기본 계정 리스트 확인
Tibero 설치 시 생성되는 기본 계정은 다음과 같습니다. DB 버전에 따라 추가/삭제된 계정이 존재합니다. 추가로, 삭제하면 안되는 계정이 존재하니 아래 내용 확인 후 조치가 필요합니다.
| 계정명 | 비밀번호 | 비고 |
| SYS | tibero | 계정 삭제 불가능 |
| SYSCAT | syscat | 계정 삭제 불가능 |
| SYSGIS | sysgis | 계정 삭제 불가능 |
| OUTLN | outln | 계정 삭제 불가능 |
| TIBERO | tmax | 계정 삭제 가능 |
| TIBERO1 | tmax | 계정 삭제 가능 T7 버전 이상부터 존재하지 않음 |
| SYSBACKUP | tibero | 계정 삭제 불가능 T6FS07 일부 버전(301647 패치 존재) 및 T7 버전 이상부터 존재 |
| LBACSYS | lbacsys | 계정 삭제 불가능 T7 버전 이상부터 존재 |
연계 시스템 확인
사전에 연계 시스템에서 사용 중인 DB 계정에 대한 확인이 필요합니다. 대부분 연계 시스템 별로 DB 계정을 생성하여 사용하지만, 간혹 sys 계정이나 기본 계정(tibero 혹은 tibero1)을 사용하는 경우가 존재합니다. 후자와 같은 경우에는 연계 시스템과 협의하여 연계 시스템과 함께 비밀번호 변경을 진행해야 합니다.
패스워드 관리 방법
- 영문, 숫자, 특수문자를 조합하여 계정명과 상이한 8자 이상의 패스워드 설정
- 다음 각 항목의 문자 종류(영문 대문자(26개), 영문 소문자(26개), 숫자(10개), 특수문자(32개)) 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성
- 시스템마다 상이한 패스워드 사용
- 패스워드를 기록해 놓을 경우 변형하여 기록
- 가급적 자주 패스워드를 변경할 것
방법
설정
- 계정 리스트 확인
SELECT USERNAME FROM DBA_USERS; -- T6 FS07(301647 패치 X) 조회 결과값 USERNAME -------------------------------------------------------------------------------- SYS SYSCAT SYSGIS OUTLN TIBERO TIBERO1 -- T7 조회 결과값 USERNAME --------------------------------------------------------------------------------- SYS SYSCAT SYSGIS OUTLN SYSBACKUP TIBERO LBACSYS
- 계정 패스워드 변경
ALTER USER [USERNAME] IDENTIFIED BY '[NEW PASSWORD]'; ex) sys 계정 비밀번호를 Tibero123# 으로 변경 ALTER USER sys IDENTIFIED BY 'Tibero123#';
원복
- 계정 리스트 확인
SELECT USERNAME FROM DBA_USERS; -- T6 FS07(301647 패치 X) 조회 결과값 USERNAME -------------------------------------------------------------------------------- SYS SYSCAT SYSGIS OUTLN TIBERO TIBERO1 -- T7 조회 결과값 USERNAME --------------------------------------------------------------------------------- SYS SYSCAT SYSGIS OUTLN SYSBACKUP TIBERO LBACSYS
- 계정 패스워드 원복
ALTER USER [USERNAME] IDENTIFIED BY '[OLD PASSWORD]'; ex) sys 계정 비밀번호를 tibero 으로 변경 ALTER USER sys IDENTIFIED BY 'tibero';