개요

본 문서에서는 "계정관리-DB 사용자 계정을 개별적으로 부여하여 사용(D-13)" 항목에 대한 보안취약점 조치 방안에 대해 기술하였습니다. 

점검 내용 및 목적

• DB 접근 시 사용자 별로 서로 다른 계정을 사용하여 접근하는지 점검합니다.
• 사용자 별로 DBMS 계정을 사용하여 DB에 접근하는지 점검하여 DB 계정 공유 사용으로 발생할 수 있는 로그 감사 추적 문제를 대비하기 위함입니다.

점검 판단 기준

조치 전 주의사항

기본 계정 리스트 확인

Tibero 설치 시 생성되는 기본 계정은 다음과 같습니다. DB 버전에 따라 추가/삭제된 계정이 존재합니다. 

연계 시스템 확인

사전에 연계 시스템에서 사용 중인 DB 계정에 대한 확인이 필요합니다. 

방법

설정

• 계정 리스트 확인

set lines 400
col username for a30
col account_status for a30
SELECT USERNAME,ACCOUNT_STATUS FROM DBA_USERS;

-- T6 FS07(301647 패치 X) 조회 결과값
USERNAME                       ACCOUNT_STATUS
------------------------------ ------------------------------
SYS                            OPEN
SYSCAT                         OPEN
SYSGIS                         OPEN
OUTLN                          OPEN
TIBERO                         OPEN
TIBERO1                        OPEN

-- T7 조회 결과값
USERNAME                       ACCOUNT_STATUS
------------------------------ ------------------------------
SYS                            OPEN
SYSCAT                         OPEN
SYSGIS                         OPEN
OUTLN                          OPEN
SYSBACKUP                      OPEN
TIBERO                         OPEN
LBACSYS                        OPEN

• 불필요 계정 삭제

불필요 계정 삭제 시, 계정에 있는 오브젝트(Table, Index, View, Function 등)가 함께 삭제되오니, 오브젝트가 존재한다면 백업 후, 진행하는 것을 권고드립니다.

DROP USER [USERNAME] CASCADE;

ex) drop user tibero cascade;

• 사용자 별, 연계시스템 별 등 목적에 맞게 계정 생성

불필요 계정 삭제 시, 계정에 있는 오브젝트(Table, Index, View, Function 등)가 함께 삭제됩니다. 백업 후 계정 삭제하는 것을 권고드립니다.

CREATE USER [USERNAME] IDENTIFIED BY '[PASSWORD]';
GRANT CONNECT, RESOURCE TO [USERNAME];

ex) TEST_AP 유저 생성 
create user test_ap identified by 'TestAp123!';
grant connect, resourceto test_ap;

원복

• 계정 삭제 원복

삭제된 계정에 대한 원복 방안은 따로 존재하지 않고 새로 생성해야 합니다. 그 후에 삭제 전에 백업 받아두었던 오브젝트를 복구 합니다.

CREATE USER [USERNAME] IDENTIFIED BY '[PASSWORD]';
GRANT CONNECT,RESOURCE TO [USERNAME];

ex) TIBERO1 유저 생성
CREATE USER tibero IDENTIFIED BY 'tmax';
GRANT CONNECT,RESOURCE TO tibero;