03. [OAuth 기반 인프라 취약점 진단] Apache 서버 점검

DMZ	■ 웹 서버 Apache(httpd)	I. Unix 서버, III. 웹 서비스
	■ 웹 애플리케이션 OAuth 인증 시스템	I. Unix 서버
	■ SMB Rocky Linux	I. Unix 서버

 

I. Unix 서버 

구분	점검항목 (중요도: 상)	항목코드	결과
1. 계정 관리	root 계정 원격 접속 제한	U-01	[취약]
	비밀번호 관리정책 설정	U-02	[취약]
	계정 잠금 임계값 설정	U-03	[취약]
	비밀번호 파일 보호	U-04
	root 이외의 UID가 '0' 금지	U-05
	사용자 계정 su 기능 제한	U-06	[취약]
2. 파일 및 디렉토리 관리	root 홈, 패스 디렉터리 권한 및 패스 설정	U-14
	파일 및 디렉터리 소유자 설정	U-15
	/etc/passwd 파일 소유자 및 권한 설정	U-16
	시스템 시작 스크립트 권한 설정	U-17
	/etc/shadow 파일 소유자 및 권한 설정	U-18
	/etc/hosts 파일 소유자 및 권한 설정	U-19
	/etc/(x)inetd.conf 파일 소유자 및 권한 설정	U-20
	/etc/(r)syslog.conf 파일 소유자 및 권한 설정	U-21	[취약]
	/etc/services 파일 소유자 및 권한 설정	U-22
	SUID, SGID, Sticky bit 설정 파일 점검	U-23	[취약]
	사용자, 시스템 환경변수 파일 소유자 및 권한 설정	U-24
	world writable 파일 점검	U-25
	/dev에 존재하지 않는 device 파일 점검	U-26
	$HOME/.rhosts, hosts.equiv 사용 금지	U-27
	접속 IP 및 포트 제한	U-28
3. 서비스 관리	Finger 서비스 비활성화	U-34
	공유 서비스에 대한 익명 접근 제한 설정	U-35	[취약]
	r 계열 서비스 비활성화	U-36
	crontab 설정파일 권한 설정 미흡	U-37	[취약]
	DoS 공격에 취약한 서비스 비활성화	U-38
	불필요한 NFS 서비스 비활성화	U-39
	NFS 접근 통제	U-40
	불필요한 automountd 제거	U-41
	불필요한 RPC 서비스 비활성화	U-42
	NIS, NIS+ 점검	U-43
	tftp, talk 서비스 비활성화	U-44
	메일 서비스 버전 점검	U-45
	일반 사용자의 메일 서비스 실행 방지	U-46
	스팸 메일 릴레이 제한	U-47
	DNS 보안 버전 패치	U-49
	DNS Zone Transfer 설정	U-50
	안전한 SNMP 버전 사용	U-59
4. 패치 관리	주기적 보안 패치 및 벤더 권고사항 적용	U-64

 

III. 웹 서비스 

구분	점검항목 (중요도: 상)	항목코드	결과
1. 계정 관리	Default 관리자 계정명 변경	WEB-01
	취약한 비밀번호 사용 제한	WEB-02
	비밀번호 파일 권한 관리	WEB-03
2. 서비스 관리	웹 서비스 디렉터리 리스팅 방지 설정	WEB-04	[취약]
	지정하지 않은 CGI/ISAPI 실행 제한	WEB-05
	웹 서비스 상위 디렉터리 접근 제한 설정	WEB-06
	웹 서비스 프로세스 권한 제한	WEB-09
	불필요한 프록시 설정 제한	WEB-10
	웹 서비스 설정 파일 노출 제한	WEB-13
	웹 서비스 경로 내 파일의 접근 통제	WEB-14	[취약]
	웹 서비스의 불필요한 스크립트 매핑 제거	WEB-15
	웹 서비스 헤더 정보 노출 제한	WEB-16	[취약]
	웹 서비스 WebDAV 비활성화	WEB-18
3. 보안 설정	SSL/TLS 활성화	WEB-20	[취약]
4. 패치 및 로그 관리	주기적 보안 패치 및 벤더 권고사항 적용	WEB-25

 

 

 

 

 

 

I. Unix 서버 

 

1. 계정 관리

-bash 쉘코드로 점검수행

쉘 스크립트.zip

0.01MB

 

 

 

점검항목	root 계정 원격 접속 제한(U-01)
점검내용	시스템 정책에 root 계정의 원격터미널 접속 차단 설정이 적용 여부 점검
점검목적	관리자 계정 탈취로 인한 시스템 장악을 방지하기 위해 외부 비인가자의 root 계정 접근 시도를 원천적으로 차단하기 위함
보안위협	root 계정은 운영체제의 모든 기능을 설정 및 변경이 가능하여(프로세스, 커널 변경 등) root 계정을 탈취하여 외부에서 원격을 이용한 시스템 장악 및 각종 공격으로(무차별 대입 공격, 사전 대입 공격 등) 인한 root 계정 사용 불가 위험이 존재함
판단기준	양호 : 원격터미널 서비스를 사용하지 않거나, 사용 시 root 직접 접속을 차단한 경우 취약 : 원격터미널 서비스 사용 시 root 직접 접속을 허용한 경우
점검결과	[취약]  점검 결과 PermitRootLogin yes로 설정되어 있어 외부에서 root 계정으로 직접 원격 접속이 가능한 상태임
조치방법	SSH 설정 파일(/etc/ssh/sshd_config)에서 PermitRootLogin 항목을 no로 수정 후 SSH 서비스 재시작 (systemctl restart ssh)

 

점검항목	비밀번호 관리정책 설정(U-02)
점검내용	계정 비밀번호의 복잡성, 최소/최대 사용 기간, 재사용 제한 설정 여부 점검
점검목적	유추하기 어려운 비밀번호 설정을 강제하고 주기적인 변경을 통해 계정 탈취 위험을 최소화함
보안위협	취약한 비밀번호 정책은 무차별 대입(Brute Force) 및 사전 대입(Dictionary) 공격에 노출되기 쉬우며, 탈취된 비밀번호가 장기간 사용될 위험이 존재함
판단기준	양호: 복잡성(8자 이상/조합), 유효기간(90일), 재사용 제한(4회) 정책이 모두 설정된 경우 취약: 위 정책 중 하나라도 설정되지 않았거나 가이드라인 기준에 미달하는 경우
점검결과	[취약]  1. 복잡성: pwquality.conf 내 정책 주석 처리로 비밀번호 조합 강제화 미적용 2. 유효기간: PASS_MAX_DAYS가 99999로 설정되어 주기적 변경 정책 미비 3. 재사용 제한: /etc/pam.d/system-auth 확인 결과 pam_pwhistory.so 모듈이 누락되어 최근 비밀번호 기억 기능이 작동하지 않음
조치방법	1. 복잡성 정책 및 관리자 적용 (/etc/security/pwquality.conf) - minlen=8, dcredit/ucredit/lcredit/ocredit=-1 설정 및 enforce_for_root 적용 2. 비밀번호 유효기간 및 최소 사용 기간 설정(/etc/login.defs) - PASS_MAX_DAYS 90, PASS_MIN_DAYS 1로 수정하여 주기적 변경 강제 3. 최근 비밀번호 재사용 제한 설정 (/etc/security/pwhistory.conf) - remember=4, enforce_for_root 설정을 통해 최근 4회 사용 비번 재사용 금지 4. PAM 모듈 추가 및 순서 교정 (/etc/pam.d/system-auth) - 누락된 pam_pwhistory.so 모듈을 pam_unix.so 상단에 추가하고, enforce_for_root 옵션을 부여하여 정책 강제화

점검내용	계정 잠금 임계값 설정(U-03)
점검내용	사용자 계정 로그인 실패 시 계정 잠금 임계값이 설정 여부 점검
점검목적	계정 탈취 목적의 무차별 대입 공격 시 해당 계정을 잠금으로써 인증 요청에 응답하는 리소스 낭비를 차단하고 대입 공격으로 인한 비밀번호 노출 공격을 무력화하기 위함
보안위협	계정 잠금 임계값이 설정되어 있지 않을 경우, 비밀번호 탈취 공격(무차별 대입 공격, 사전 대입 공격, 추측 공격 등)의 인증 요청에 대해 설정된 비밀번호가 일치할 때까지 지속적으로 응답하여 해당 계정의 비밀번호가 유출될 위험이 존재함
판단기준	양호 : 계정 잠금 임계값이 10회 이하의 값으로 설정된 경우 취약 : 계정 잠금 임계값이 설정되어 있지 않거나, 10회 이하의 값으로 설정되지 않은 경우
점검결과	[취약] 1. PAM 설정: /etc/pam.d/system-auth 및 password-auth 파일 내 pam_faillock.so 모듈 설정이 누락되어 있음 2. 잠금 정책: 로그인 실패 시 계정 잠금 임계값(deny) 및 잠금 시간(unlock_time) 정책이 적용되어 있지 않아 무차별 대입 공격에 취약함
조치방법	1. 인증 프로필 생성 및 활성화 (authselect) authselect select sssd --force 명령을 통해 시스템의 인증 환경(기본 구성)을 강제로 생성하고, 이어서 authselect enable-feature with-faillock으로 보안 모듈을 활성화하여 정책 적용 기반 구축 2. 계정 잠금 임계값 및 잠금 시간 설정 (/etc/security/faillock.conf) /etc/security/faillock.conf 파일에 silent, deny=10, unlock_time=120 설정을 적용하여 10회 로그인 실패 시 2분간 계정 잠금을 강제하는 보안 정책 신규 구축

 

점검항목	비밀번호 파일 보호(U-04)
점검내용	시스템의 사용자 계정(root, 일반 사용자) 정보가 저장된 파일(/etc/passwd, /etc/shadow 등)에 사용자 계정 비밀번호가 암호화 저장 여부 점검
점검목적	일부 오래된 시스템의 경우 /etc/passwd 파일에 비밀번호가 평문으로 저장되므로 사용자 계정 비밀번호가 암호화되어 저장되어 있는지 점검하여 비인가자의 비밀번호 파일 접근 시에도 사용자 계정 비밀번호가 안전하게 관리되고 있는지 확인하기 위함
보안위협	사용자 계정 비밀번호가 저장된 파일이 유출 또는 탈취 시 평문으로 저장된 비밀번호 정보가 노출 위험이 존재함
판단기준	양호 : 쉐도우 비밀번호를 사용하거나, 비밀번호를 암호화하여 저장하는 경우 취약 : 쉐도우 비밀번호를 사용하지 않고, 비밀번호를 암호화하여 저장하지 않는 경우
점검결과	[양호]  확인 결과 /etc/passwd 파일의 사용자 비밀번호 필드가 'x'로 설정되어 있으며, 모든 계정이 /etc/shadow 파일에서 암호화되어 관리되고 있어 쉐도우 비밀번호 정책이 정상 적용된 상태임
조치방법	별도 조치 필요 없음

 

점검항목	root 이외의 UID가 ‘0’ 금지(U-05)
점검내용	사용자 계정 정보가 저장된 파일(/etc/passwd, /etc/shadow 등)에 root(UID=0) 계정과 동일한 UID를 가진 계정이 존재 여부 점검
점검목적	root 계정과 동일한 UID가 존재하는지 점검하여 root 권한이 일반 사용자 계정이나 비인가자의 접근 위협에 안전하게 보호되고 있는지 확인하기 위함
보안위협	- root 계정과 동일한 UID가 설정되어 있는 일반 사용자 계정도 root 권한을 부여받아 관리자가 실행할  수 있는 모든 작업이 가능한 위험이 존재함(서비스 시작, 중지, 재부팅, root 권한 파일 편집 등) - root 계정과 동일한 UID를 사용하므로 사용자 감사 추적 시 어려움 발생 위험이 존재함
판단기준	양호 : root 계정과 동일한 UID를 갖는 계정이 존재하지 않는 경우 취약 : root 계정과 동일한 UID를 갖는 계정이 존재하는 경우
점검결과	[양호]  확인 결과 /etc/passwd 파일 전수 조사 결과, UID가 '0'인 계정은 root 외에 존재하지 않아 슈퍼유저 권한이 안전하게 보호되고 있음을 확인함
조치방법	별도 조치 필요 없음

 

점검항목	사용자 계정 su 기능 제한(U-06)
점검내용	su 명령어 사용을 허용하는 사용자를 지정한 그룹이 설정 여부 점검
점검목적	su 관련 그룹만 su 명령어 사용 권한이 부여되어 있는지 점검하여 su 그룹에 포함되지 않은 일반 사용자의 su 명령 사용을 원천적으로 차단하는지 확인하기 위함
보안위협	무분별한 사용자 변경으로 타 사용자 소유의 파일을 변경할 수 있으며 root 계정으로 변경하는 경우 관리자 권한을 획득할 수 있는 위험이 존재함
판단기준	양호 : su 명령어를 특정 그룹에 속한 사용자만 사용하도록 제한된 경우 ※ 일반 사용자 계정 없이 root 계정만 사용하는 경우 su 명령어 사용 제한 불필요 취약 : su 명령어를 모든 사용자가 사용하도록 설정된 경우
점검결과	[취약]  1. PAM 설정: /etc/pam.d/su 파일 내 pam_wheel.so 모듈 설정이 root 그룹 기준으로 지정되어 있고, 일부 설정이 주석 처리되어 있어 표준 wheel 그룹 기반의 접근 제어가 미적용됨 2. 권한 제어: su 명령어 실행 파일(/usr/bin/su)의 그룹 소유권 및 접근 권한이 일반 사용자에게 개방되어 있어 관리자 권한 우회 가능성이 존재함
조치방법	1. PAM 모듈 접근 제어 적용: /etc/pam.d/su 파일의 auth required pam_wheel.so group=wheel 설정을 통해 wheel 그룹 멤버만 su 명령어를 사용할 수 있도록 정책을 강화함 2. 실행 파일 보안 설정: chgrp wheel /usr/bin/su 및 chmod 4750 /usr/bin/su 명령어를 수행하여 su 명령어의 실행 권한을 보안 기준(4750)에 맞게 설정함 3. 최소 권한 부여: usermod -aG wheel admin 명령어를 통해 관리자 권한이 필요한 admin 계정만 wheel 그룹에 추가하여 최소 권한 원칙을 준수함

 

 

2. 파일 및 디렉토리 관리

 

점검항목	root 홈, 패스 디렉터리 권한 및 패스 설정  (U-14)
점검내용	root 계정의 PATH 환경변수에 “.”(마침표)이 포함 여부 점검
점검목적	비인가자가 불법적으로 생성한 디렉터리 및 명령어를 우선으로 실행되지 않도록 설정하기 위함
보안 위협	root 계정의 PATH 환경변수에 정상적인 관리자 명령어(ls, mv, cp 등)의 디렉터리 경로보다 현재 디렉터리를 지칭하는 “.” 표시가 우선하면 현재 디렉터리에 변조된 명령어를 삽입하여 관리자 명령어 입력 시 악의적인 기능이 실행될 수 있는 위험이 존재함
판단기준	양호 : PATH 환경변수에 “.” 이 맨 앞이나 중간에 포함되지 않은 경우 취약 : PATH 환경변수에 “.” 이 맨 앞이나 중간에 포함된 경우
점검결과	[양호]  PATH 환경변수 설정 내에 현재 디렉토리(.) 및 일반 사용자가 수정 가능한 경로가 포함되어 있지 않음을 확인함
조치방법	별도 조치 필요 없음

 

점검항목	파일 및 디렉터리 소유자 설정  (U-15)
점검내용	소유자가 존재하지 않는 파일 및 디렉터리의 존재 여부 점검
점검목적	소유자가 존재하지 않는 파일 및 디렉터리를 제거 또는 관리하여 임의의 사용자가 해당 파일을 열람, 수정하는 행위를 사전에 차단하기 위함
보안 위협	소유자가 존재하지 않는 파일의 UID와 동일한 값으로 특정 계정의 UID를 변경하면 해당 파일의 소유자가 되어 모든 작업이 가능한 위험이 존재함
판단기준	양호 : 소유자가 존재하지 않는 파일 및 디렉터리가 존재하지 않는 경우 취약 : 소유자가 존재하지 않는 파일 및 디렉터리가 존재하는 경우
점검결과	[양호]  소유자나 그룹이 없는 파일이 존재하지 않음.
조치방법	별도 조치 필요 없음

 

점검항목	/etc/passwd 파일 소유자 및 권한 설정  (U-16)
점검내용	/etc/passwd 파일 권한 적절성 여부 점검
점검목적	/etc/passwd 파일을 관리자만 제어할 수 있게 하여 비인가자들의 임의적인 파일 변조를 방지하기 위함
보안 위협	비인가자가 /etc/passwd 파일의 사용자 정보를 변조하여 Shell 변경, 사용자 추가/제거 등 root 계정을 포함한 사용자 권한 획득 위험이 존재함
판단기준	양호 : /etc/passwd 파일의 소유자가 root이고, 권한이 644 이하인 경우 취약 : /etc/passwd 파일의 소유자가 root가 아니거나, 권한이 644 이하가 아닌 경우
점검결과	[양호]  /etc/passwd 파일의 소유자가 root이고 권한이 644 이하로 적절하게 설정되어 있음을 확인함.
조치방법	별도 조치 필요 없음

 

점검항목	시스템 시작 스크립트 권한 설정   (U-17)
점검내용	시스템 시작 스크립트 파일 권한 적절성 여부 점검
점검목적	시스템 시작 스크립트 파일을 관리자만 제어할 수 있게 하여 비인가자들의 임의적인 파일 변조를 방지하기 위함
보안 위협	시스템 시작 스크립트 파일의 소유권 및 권한 설정이 미흡할 경우, 비인가자가 스크립트의 내용 변경 등을 통해 시스템 침입 등 악용할 위험이 존재함
판단기준	양호 : 시스템 시작 스크립트 파일의 소유자가 root이고, 일반 사용자의 쓰기 권한이 제거된 경우 취약 : 시스템 시작 스크립트 파일의 소유자가 root가 아니거나, 일반 사용자의 쓰기 권한이 부여된 경우
점검결과	[양호]  시스템 핵심 서비스(systemd), 자동 실행 스크립트(rc.local), 전통적 시작 스크립트(init.d) 경로를 대상으로 소유권 전수 조사를 실시한 결과, 관리자(root) 외의 계정이 소유한 시작 스크립트가 발견되지 않아 비인가자에 의한 서비스 변조 위험이 없음을 확인함 find /usr/lib/systemd/system/ -name "*.service" ! -user root -ls find /etc/systemd/system/ -name "*.service" ! -user root -ls find /etc/rc.d/rc.local ! -user root -ls find /etc/rc.d/init.d/ -type f ! -user root -ls
조치방법	별도 조치 필요 없음

 

점검항목	/etc/shadow 파일 소유자 및 권한 설정    (U-18)
점검내용	/etc/shadow 파일 권한 적절성 여부 점검
점검목적	/etc/shadow 파일을 관리자만 제어할 수 있게 하여 비인가자들의 임의적인 파일 변조를 방지하기 위함
보안 위협	/etc/shadow 파일에 저장된 암호화된 해시값을 복호화하여(크래킹) 비밀번호를 탈취할 위험이 존재함
판단기준	양호 : /etc/shadow 파일의 소유자가 root이고, 권한이 400 이하인 경우 취약 : /etc/shadow 파일의 소유자가 root가 아니거나, 권한이 400 이하가 아닌 경우
점검결과	[양호]  비밀번호 암호화 정보가 저장된 /etc/shadow 파일의 소유자가 root이고 권한이 000(또는 600 이하)으로 적절하게 설정되어 있어 관리자 외 비인가자의 접근 및 유출 위험이 없음을 확인함
조치방법	별도 조치 필요 없음

 

점검항목	/etc/hosts 파일 소유자 및 권한 설정     (U-19)
점검내용	/etc/hosts 파일의 권한 적절성 여부 점검
점검목적	/etc/hosts 파일을 관리자만 제어할 수 있게 하여 비인가자들의 임의적인 파일 변조를 방지하기 위함
보안 위협	●/etc/hosts 파일에 비인가자가 쓰기 권한이 부여된 경우, 공격자는 /etc/hosts 파일에 악의적인 시스템을 등록하여, 이를 통해 정상적인 DNS를 우회하여 악성 사이트로의 접속을 유도하는 파밍(Pharming) 공격 등에 악용될 수 있는 위험이 존재함 ●  /etc/hosts 파일에 소유자의 쓰기 권한이 부여된 경우, 일반 사용자 권한으로 /etc/hosts 파일에 변조된 IP주소를 등록하여 정상적인 DNS를 방해하고 악성 사이트로의 접속을 유도하는 파밍(Pharming) 공격 등에 악용될 수 있는 위험이 존재함
판단기준	양호 : /etc/hosts 파일의 소유자가 root이고, 권한이 644 이하인 경우 취약 : /etc/hosts 파일의 소유자가 root가 아니거나, 권한이 644 이하가 아닌 경우
점검결과	[양호]  IP 주소와 호스트 이름 정보가 저장된 /etc/hosts 파일의 소유자가 root이고 권한이 644로 설정되어 있어 관리자 외 비인가자의 임의 수정 위험이 없음을 확인함
조치방법	별도 조치 필요 없음

 

 

점검항목	/etc/(x)inetd.conf 파일 소유자 및 권한 설정      (U-20)
점검내용	/etc/(x)inetd.conf 파일 권한 적절성 여부 점검
점검목적	/etc/(x)inetd.conf 파일을 관리자만 제어하여 비인가자들의 임의적인 파일 변조를 방지하기 위함
보안 위협	/etc/(x)inetd.conf 파일에 소유자 외 쓰기 권한이 부여된 경우, 일반 사용자 권한으로 해당 파일에 등록된 서비스를 변조하거나 악의적인 프로그램(서비스)을 등록할 수 있는 위험이 존재함
판단기준	양호 :  /etc/(x)inetd.conf 파일의 소유자가 root이고, 권한이 600 이하인 경우 취약 : /etc/(x)inetd.conf 파일의 소유자가 root가 아니거나, 권한이 600 이하가 아닌 경우
점검결과	[양호] /etc/inetd.conf 및 /etc/xinetd.conf 파일이 존재하지 않아 해당 서비스를 사용하지 않는 것으로 확인되므로 양호함
조치방법	별도 조치 필요 없음

 

점검항목	/etc/(r)syslog.conf 파일 소유자 및 권한 설정       (U-21)
점검내용	/etc/(r)syslog.conf 파일 권한 적절성 여부 점검
점검목적	/etc/(r)syslog.conf 파일의 권한 적절성을 점검하여, 비인가자의 임의적인 /etc/(r)syslog.conf 파일 변조를 방지하기 위함
보안 위협	/etc/(r)syslog.conf 파일의 설정 내용을 참조하여 로그의 저장 위치가 노출되며 로그를 기록하지 않도록 설정하거나 대량의 로그를 기록하게 하여 시스템 과부하를 유도할 수 있는 위험이 존재함
판단기준	양호 :  /etc/(r)syslog.conf 파일의 소유자가 root(또는 bin, sys)이고, 권한이 640 이하인 경우 취약 : /etc/(r)syslog.conf 파일의 소유자가 root(또는 bin, sys)가 아니거나, 권한이 640 이하가 아닌 경우
점검결과	[취약] 시스템 로그 설정 파일인 /etc/rsyslog.conf 파일의 권한이 644로 설정되어 있어 가이드라인 기준인 600 이하를 초과함
조치방법	/etc/(r)syslog.conf 권한 600으로 변경 조치

 

 

점검항목	/etc/services 파일 소유자 및 권한 설정     (U-22)
점검내용	/etc/services 파일 권한 적절성 여부 점검
점검목적	/etc/services 파일을 관리자만 제어할 수 있게 하여 비인가자들의 임의적인 파일 변조를 방지하기 위함
보안 위협	/etc/services 파일의 접근 권한이 적절하지 않을 경우, 비인가 사용자가 운영 포트 번호를 변경하여 정상적인 서비스를 제한하거나 허용되지 않은 포트를 오픈하여 악성 서비스를 의도적으로 실행할 수 있는 위험이 존재함
판단기준	양호 : /etc/services 파일의 소유자가 root(또는 bin, sys)이고, 권한이 644 이하인 경우 취약 : /etc/services 파일의 소유자가 root(또는 bin, sys)가 아니거나, 권한이 644 이하가 아닌 경우
점검결과	[양호]  /etc/services 파일의 소유자가 root이고, 권한이 644로 설정되어 있음
조치방법	별도 조치 필요 없음

 

점검항목	SUID, SGID, Sticky bit 설정 파일 점검    (U-23)
점검내용	불필요하거나 악의적인 파일에 SUID, SGID, Sticky bit 설정 여부 점검
점검목적	불필요한 SUID, SGID, Sticky bit 설정 제거로 악의적인 사용자의 권한 상승을 방지하기 위함
보안 위협	SUID, SGID, Sticky bit 설정이 적절하지 않을 경우, SUID, SGID, Sticky bit가 설정된 파일로 특정  명령어를 실행하여 root 권한 획득이 가능한 위험이 존재함
판단기준	양호 : 주요 실행 파일의 권한에 SUID와 SGID에 대한 설정이 부여되어 있지 않은 경우 취약 : 주요 실행 파일의 권한에 SUID와 SGID에 대한 설정이 부여된 경우
점검결과	[취약] /usr/bin/bash 파일에 SUID 및 SGID 설정이 부여되어 있어 비인가자의 권한 상승 및 일반 계정의 쉘 접근 장애를 유발하므로 취약함
조치방법	chmod ug-s /usr/bin/bash 명령을 실행하여 해당 파일의 불필요한 특수 권한을 제거함

 

점검항목	사용자, 시스템 환경변수 파일 소유자 및 권한 설정    (U-24)
점검내용	홈 디렉터리 내의 환경변수 파일에 대한 소유자 및 접근 권한이 관리자 또는 해당 계정으로 설정 여부 점검
점검목적	비인가자의 환경변수 조작으로 인한 보안 위험이 존재함
보안 위협	홈 디렉터리 내의 사용자 파일 및 사용자별 시스템 시작 파일 등과 같은 환경변수 파일의 접근 권한 설정이 적절하지 않을 경우, 비인가자가 환경변수 파일을 변조하여 정상 사용 중인 사용자의 서비스가 제한될 수 있는 위험이 존재함
판단기준	양호 : 홈 디렉터리 환경변수 파일 소유자가 root 또는 해당 계정으로 지정되어 있고,           홈 디렉터리 환경변수 파일에 root계정과 소유자만 쓰기 권한이 부여된 경우 취약 : 홈 디렉터리 환경변수 파일 소유자가 root 또는 해당 계정으로 지정되지 않거나,           홈 디렉터리 환경변수 파일에 root 계정과 소유자 외에 쓰기 권한이 부여된 경우
점검결과	[양호]  홈 디렉터리 내 주요 환경변수 파일들이 root 소유로 되어 있고, 소유자 외의 사용자에게는 쓰기 권한이 부여되지 않은 644 혹은 그 이하의 권한 설정으로 확인됨
조치방법	별도 조치 필요 없음

 

점검항목	world writable 파일 점검     (U-25)
점검내용	불필요한 world writable 파일 여부 점검
점검목적	world writable 파일을 이용한 시스템 접근 및 악의적인 코드 실행을 방지하기 위함
보안 위협	시스템 파일과 같은 중요 파일에 world writable이 적용될 경우, 일반 사용자 및 비인가자가 해당 파일을 임의로 수정, 제거할 위험이 존재 함
판단기준	양호 : world writable 파일이 존재하지 않거나, 존재 시 설정 이유를 인지하고 있는 경우 취약 : world writable 파일이 존재하나 설정 이유를 인지하지 못하고 있는 경우
점검결과	[양호] 주요 디렉터리(etc, home, usr, var 등) 내 모든 파일에 대해 World Writable 권한을 점검한 결과, 해당되는 파일이 존재하지 않음
조치방법	별도 조치 필요 없음

 

점검항목	/dev에 존재하지 않는 device 파일 점검   (U-26)
점검내용	허용할 호스트에 대한 접속 IP주소 제한 및 포트 제한 설정 여부 점검
점검목적	허용한 호스트만 서비스를 사용하게 하여 서비스 취약점을 이용한 외부자 공격을 방지하기 위함
보안 위협	공격자는 rootkit 설정 파일들을 서버 관리자가 쉽게 발견하지 못하도록 /dev 디렉터리에 device 파일인 것처럼 위장하는 수법을 사용하는 위험이 존재함
판단기준	양호 : /dev 디렉터리에 대한 파일 점검 후 존재하지 않는 device 파일을 제거한 경우 취약 : /dev 디렉터리에 대한 파일 미점검 또는 존재하지 않는 device 파일을 방치한 경우
점검결과	[양호] /dev 디렉터리 내에 존재하지 않는 device 파일이 있는지  점검한 결과, 아무런 파일도 검색되지 않아 양호함.
조치방법	별도 조치 필요 없음

 

점검항목	$HOME/.rhosts, hosts.equiv 사용 금지    (U-27)
점검내용	$HOME/.rhosts 및 /etc/hosts.equiv 파일에 대해 적절한 소유자 및 접근 권한 설정 여부 점검
점검목적	점검 목적r-command를 통한 별도의 인증 없는 관리자 권한 원격 접속을 차단하기 위함
보안 위협	● r-command(rlogin, rsh 등)에 보안 설정이 적용되지 않을 경우, 원격지의 공격자가 관리자 권한으로 목표 시스템상 임의의 명령을 수행시킬 수 있으며, 명령어 원격실행을 통해 중요 정보유출 및 시스템 장애를 유발 또는 공격자의 백도어 등으로도 활용될 수 있는 위험이 존재함 ● 해당 파일은 r-command 서비스의 접근통제에 관련된 파일이며, 권한 설정이 부적절한 경우 r-command 서비스 사용 권한을 임의로 등록하여 무단 사용 위험이 존재함
판단기준	양호 : rlogin, rsh, rexec 서비스를 사용하지 않거나, 사용 시 아래와 같은 설정이 적용된 경우 1. /etc/hosts.equiv 및 $HOME/.rhosts 파일 소유자가 root 또는 해당 계정인 경우 2. /etc/hosts.equiv 및 $HOME/.rhosts 파일 권한이 600 이하인 경우 3. /etc/hosts.equiv 및 $HOME/.rhosts 파일 설정에 “+” 설정이 없는 경우 취약 : rlogin, rsh, rexec 서비스를 사용하며 아래와 같은 설정이 적용되지 않은 경우 1. /etc/hosts.equiv 및 $HOME/.rhosts 파일 소유자가 root 또는 해당 계정이 아닌 경우 2. /etc/hosts.equiv 및 $HOME/.rhosts 파일 권한이 600을 초과한 경우 3. /etc/hosts.equiv 및 $HOME/.rhosts 파일 설정에 “+” 설정이 존재하는 경우
점검결과	[양호] rlogin, rsh, rexec 서비스를 사용하지 않음
조치방법	별도 조치 필요 없음

 

점검항목	접속 IP 및 포트 제한     (U-28)
점검내용	허용할 호스트에 대한 접속 IP주소 제한 및 포트 제한 설정 여부 점검
점검목적	허용한 호스트만 서비스를 사용하게 하여 서비스 취약점을 이용한 외부자 공격을 방지하기 위함
보안 위협	허용할 호스트에 대한 IP 및 포트 제한이 적용되지 않을 경우, Telnet, FTP 같은 보안에 취약한 네트워크 서비스를 통하여 불법적인 접근 및 시스템 침해사고가 발생할 수 있는 위험이 존재함
판단기준	양호 : 접속을 허용할 특정 호스트에 대한 IP주소 및 포트 제한을 설정한 경우 취약 : 접속을 허용할 특정 호스트에 대한 IP주소 및 포트 제한을 설정하지 않은 경우
점검결과	[양호]  1.SSH 접근 제어 : 관리용 SSH(22번 포트)에 대해 특정 IP(192.168.12.129)만 접속 가능하도록 Rich Rule이 설정되어 있어 비인가자의 원격 접속 위험이 낮음. 2.웹 서비스 개방 : 웹 서버 운영 목적에 맞게 http, https 및 80/tcp 포트가 적절히 허용되어 있음.
조치방법	별도 조치 필요 없음

 

 

 

 

3. 서비스 관리

점검항목	Finger 서비스 비활성화(U-34)
점검내용	Finger 서비스 비활성화 여부 점검
점검목적	Finger 서비스를 통해 네트워크 외부에서 해당 시스템에 등록된 사용자 정보를 확인할 수 있어 비인가자에게 사용자 정보가 조회되는 것을 방지하기 위함
보안위협	Finger 서비스가 활성화되어 있을 경우, 비인가자가 Finger 서비스를 사용하여 사용자 정보를 조회한 후 비밀번호 공격을 통해 계정을 탈취할 위험이 존재함
판단기준	양호 : Finger 서비스가 비활성화된 경우 취약 : Finger 서비스가 활성화된 경우
점검결과	[양호]  1. 프로세스 및 포트 확인: ps -ef | grep finger 및 netstat -an | grep 79 명령어를 통해 구동 중인 서비스가 없음을 확인함 2. 설정 파일 확인: /etc/inetd.conf 및 /etc/xinetd.d/ 디렉터리 내에 finger 서비스 관련 설정 파일이 존재하지 않음을 확인 3. 패키지 설치 여부 확인: rpm -qa | grep finger 명령어를 수행한 결과, 시스템 내 설치된 finger 관련 패키지가 없음을 확인
조치방법	별도 조치 필요 없음

 

점검항목	공유 서비스에 대한 익명 접근 제한 설정(U-35)
점검내용	공유 서비스의 익명 접근 제한 설정 여부 점검
점검목적	공유 서비스의 익명 접근을 제한하여 중요 정보의 노출을 방지하기 위함
보안위협	공유 서비스의 익명 접근을 허용할 경우, 비인가자의 무단 접근으로 인한 중요 정보 탈취 또는 변조, 악성 코드 유포 등의 위험이 존재함
판단기준	양호 : 공유 서비스에 대해 익명 접근을 제한한 경우 취약 : 공유 서비스에 대해 익명 접근을 허용한 경우
점검결과	[취약] 1. 계정 확인: /etc/passwd 파일 내 익명 사용자 계정 존재 여부를 확인한 결과(cat /etc/passwd | grep ftp, cat /etc/passwd | grep anonymous), 시스템 내 ftp 계정은 등록되어 있었으나, anonymous 계정은 존재하지 않음을 확인함 2. 서비스 확인: rpm -qa | grep vsftpd 및 ps -ef | grep vsftpd 명령어 수행 결과, FTP 서비스 패키지는 미설치 상태이나, 시스템 내 불필요한 ftp 계정이 방치되어 보안 취약점이 존재함
조치방법	불필요한 익명 계정 제거: userdel ftp 명령어를 사용하여 시스템에 존재하는 불필요한 ftp 계정을 삭제함으로써 공유 서비스에 대한 익명 접근 경로를 원천 차단함 (anonymous 계정은 시스템에 존재하지 않음을 확인하여 별도 조치 제외)

 

점검항목	r 계열 서비스 비활성화(U-36)
점검내용	r-command 서비스 비활성화 여부 점검
점검목적	r-command 사용을 통한 원격 접속은 NET Backup 또는 클러스터링 등 용도로 사용되기도 하나, 인증 없이 관리자 원격 접속이 가능하여 이에 대한 보안 위협을 방지하기 위함
보안위협	rlogin, rsh, rexec 등의 r-command를 이용하여 원격에서 인증 절차 없이 터미널 접속, 쉘 명령어를 실행이 가능한 위험이 존재함
판단기준	양호 : 불필요한 r 계열 서비스가 비활성화된 경우 취약 : 불필요한 r 계열 서비스가 활성화된 경우
점검결과	[양호]  1. 패키지 설치 확인: rpm -qa | grep -E "rsh|rlogin|rexec" 명령어 수행 결과, r 계열 관련 패키지가 설치되어 있지 않음을 확인함 2. 네트워크 포트 확인: netstat -an | grep -E "512|513|514" 명령어 수행 결과, 해당 서비스가 사용하는 포트(512, 513, 514)가 리스닝(Listening) 상태가 아님을 확인함 3. 설정 파일 확인: /etc/xinetd.d/ 디렉터리 및 /etc/inetd.conf 파일 확인 결과, r 계열 서비스 관련 설정 파일이나 디렉터리 자체가 존재하지 않음을 확인함
조치방법	별도 조치 필요 없음

 

점검항목	crontab 설정파일 권한 설정 미흡(U-37)
점검내용	crontab 및 at 서비스 관련 파일의 권한 적절성 여부 점검
점검목적	관리자 외에는 서비스를 사용할 수 없도록 설정하고 있는지 점검하기 위함
보안위협	일반 사용자가 crontab 및 at 서비스를 사용할 수 있을 경우, 고의 또는 실수로 불법적인 예약 파일 실행으로 시스템 피해를 일으킬 수 있는 위험이 존재함
판단기준	양호 : crontab 및 at 명령어에 일반 사용자 실행 권한이 제거되어 있으며, cron 및 at 관련 파일 권한이 640 이하인 경우 취약 : crontab 및 at 명령어에 일반 사용자 실행 권한이 부여되어 있으며, cron 및 at 관련 파일 권한이 640 이상인 경우
점검결과	[취약] 1. 실행 파일 확인: /usr/bin/crontab 파일에 SUID(s)가 설정되어 있고 권한이 755로 설정되어 있어, 가이드라인 기준인 750 이하 및 SUID 제거 요건을 충족하지 못함 2. 설정 파일 확인 : /etc/crontab 파일의 권한이 644로 설정되어 있어, 관리자 외 일반 사용자가 파일 내용을 열람할 수 있는 등 가이드라인 기준인 640 이하를 초과함 3. 작업 디렉터리 점검: /var/spool/cron/ 디렉터리의 권한이 적절히 보호되지 않아 일반 사용자가 접근 가능한 상태임. (단, 현재 등록된 예약 작업 파일은 부재함)
조치방법	1. 실행 파일 권한 제한: chown root:root /usr/bin/crontab, chmod u-s /usr/bin/crontab, chmod 750 /usr/bin/crontab 명령을 수행하여 SUID 제거 및 일반 사용자 실행 차단 2. 설정 파일 권한 강화: chown root:root /etc/crontab, chmod 640 /etc/crontab 명령을 수행하여 관리자 외 접근 원천 차단 3. 작업 디렉터리 보안: chown -R root:root /var/spool/cron, chmod 750 /var/spool/cron 명령을 수행하여 관리자 외 접근을 제한하고, 예약 작업 파일 부재를 확인하여 현재 보안 상태를 유지함

 

점검항목	DoS 공격에 취약한 서비스 비활성화(U-38)
점검내용	사용하지 않는 DoS 공격에 취약한 서비스의 실행 여부 점검
점검목적	많은 취약점을 가진 echo, discard, daytime, chargen, ntp, snmp 등의 서비스를 중지하여 시스템의 보안성을 높이기 위함
보안위협	해당 서비스가 활성화된 경우, 시스템 정보 유출 및 DoS 공격의 대상이 될 수 있는 위험이 존재함
판단기준	양호 : DoS 공격에 취약한 서비스가 비활성화된 경우 취약 : DoS 공격에 취약한 서비스가 활성화된 경우
점검결과	[양호] 서비스 점검: systemctl list-unit-files 명령을 통해 DoS 취약 서비스(echo, discard, daytime, chargen, ntp, snmp)의 구동 상태를 점검함
조치방법	별도 조치 필요 없음

 

 

점검항목	불필요한 NFS 서비스 비활성화   ( U-39)
점검내용	불필요한 NFS 서비스 사용 여부 점검
점검목적	NFS(Network File System) 서비스는 한 서버의 파일을 많은 서비스 서버들이 공유하여 사용할 때 이용하는 서비스지만 이를 이용한 침해사고 위험성이 높으므로 사용하지 않는 경우 중지하기 위함
보안 위협	NFS 서비스는 서버의 디스크를 클라이언트와 공유하는 서비스로 적정한 보안 설정이 적용되어 있지 않다면 불필요한 파일 공유로 인한 유출 위험이 존재함
판단기준	양호 : 불필요한 NFS 서비스 관련 데몬이 비활성화된 경우 취약 : 불필요한 NFS 서비스 관련 데몬이 활성화된 경우
점검결과	[양호] systemctl 명령어를 통해 시스템 서비스 유닛을 점검한 결과 NFS 관련 서비스가 리스트에 존재하지 않으며 현재 실행 중이지 않음 확인함 또한 불필요한 NFS 서비스가 비활성화되어 있어 인증 절차가 취약한 프로토콜을 이용한 비인가자의 접근이나 데이터 탈취 위협이 없으므로 보안상 안전한 상태임
조치방법	별도 조치 필요 없음

 

점검항목	NFS 접근 통제   ( U-40)
점검내용	NFS(Network File System)의 접근 통제 설정 적용 여부 점검
점검목적	접근 권한이 없는 비인가자의 접근을 통제하기 위함
보안 위협	접근 통제 설정이 적절하지 않을 경우, 인증 절차 없이 비인가자가 디렉터리나 파일의 접근이 가능하며, 해당 공유 시스템에 원격으로 마운트하여 중요 파일을 변조하거나 유출할 위험이 존재함
판단기준	양호 : 접근 통제가 설정되어 있으며 NFS 설정 파일 접근 권한이 644 이하인 경우 취약 : 접근 통제가 설정되어 있지 않고 NFS 설정 파일 접근 권한이 644를 초과하는 경우
점검결과	[양호] /etc/exports 설정 파일의 권한이 644(-rw-r--r--)로 설정되어 있어 판단 기준인 644 이하를 만족하며 관리자 외 사용자에 의한 무단 수정 위험이 없음 또한 cat 명령으로 파일 내용을 확인한 결과 공유 설정된 디렉터리가 존재하지 않아 비인가자에 의한 원격 마운트 및 중요 데이터 유출 가능성이 없는 것으로 판단됨
조치방법	별도 조치 필요 없음

 

점검항목	NFS 접근 통제   ( U-40)
점검내용	NFS(Network File System)의 접근 통제 설정 적용 여부 점검
점검목적	접근 권한이 없는 비인가자의 접근을 통제하기 위함
보안 위협	접근 통제 설정이 적절하지 않을 경우, 인증 절차 없이 비인가자가 디렉터리나 파일의 접근이 가능하며, 해당 공유 시스템에 원격으로 마운트하여 중요 파일을 변조하거나 유출할 위험이 존재함
판단기준	양호 : 접근 통제가 설정되어 있으며 NFS 설정 파일 접근 권한이 644 이하인 경우 취약 : 접근 통제가 설정되어 있지 않고 NFS 설정 파일 접근 권한이 644를 초과하는 경우
점검결과	[양호] /etc/exports 설정 파일의 권한이 644(-rw-r--r--)로 설정되어 있어 판단 기준인 644 이하를 만족하며 관리자 외 사용자에 의한 무단 수정 위험이 없음 또한 cat 명령으로 파일 내용을 확인한 결과 공유 설정된 디렉터리가 존재하지 않아 비인가자에 의한 원격 마운트 및 중요 데이터 유출 가능성이 없는 것으로 판단됨
조치방법	별도 조치 필요 없음

 

점검항목	불필요한 automountd 제거  ( U-41)
점검내용	automountd 서비스 데몬의 실행 여부 점검
점검목적	로컬 공격자가 automountd 데몬에 RPC(Remote Procedure Call)를 보낼 수 있는 취약점이 존재하기 때문에 해당 서비스를 중지시키기 위함
보안 위협	파일 시스템의 마운트 옵션을 변경하여 root 권한을 획득할 수 있으며, 로컬 공격자가 automountd 프로세스 권한으로 임의의 명령을 실행할 수 있는 위험이 존재함
판단기준	양호 : automountd 서비스가 비활성화된 경우 취약 : automountd 서비스가 활성화된 경우
점검결과	[양호] systemctl 및 ps 명령어를 통해 확인한 결과 automountd 및 autofs 서비스가 설치되어 있지 않거나 구동 중이지 않은 상태임 또한 해당 서비스의 비활성화를 통해 로컬 공격자가 RPC 취약점을 이용하여 root 권한을 획득할 수 있는 위험을 원천 차단하고 있으므로 보안상 안전한 것으로 판단됨
조치방법	별도 조치 필요 없음

 

 

점검항목	불필요한 RPC 서비스 비활성화 ( U-42)
점검내용	불필요한 RPC 서비스의 실행 여부 점검
점검목적	많은 취약점(버퍼 오버플로우, DoS, 원격 실행 등)이 존재하는 RPC 서비스를 비활성화하여 시스템의 보안성을 높이기 위함
보안 위협	RPC 서비스의 취약점을 통해 비인가자가 root 권한 획득 및 각종 공격을 시도할 위험이 존재함
판단기준	양호 : 불필요한 RPC 서비스가 비활성화된 경우 취약 : 불필요한 RPC 서비스가 활성화된 경우
점검결과	[양호] xinetd.d 디렉터리 내 파일 목록을 확인한 결과 rpc.cmsd, sadmind, rstatd 등 가이드에서 명시한 불필요한 RPC 서비스 관련 설정 파일이 존재하지 않음을 확인함 또한 시스템 내 RPC 관련 서비스가 활성화되어 있지 않아 비인가자의 root 권한 획득 및 원격 실행 공격 등의 보안 위협이 없는 것으로 판단됨
조치방법	별도 조치 필요 없음

 

 

점검항목	NIS, NIS+ 점검( U-43)
점검내용	안전하지 않은 NIS 서비스의 비활성화, 안전한 NIS+ 서비스의 활성화 여부 점검
점검목적	안전하지 않은 NIS 서비스를 비활성화하고 안전한 NIS+ 서비스를 활성화하여 시스템의 보안성을 높이기 위함
보안 위협	NIS 서비스가 활성화된 경우, 비인가자가 타 시스템의 root 권한까지 탈취할 수 있는 위험이 존재함
판단기준	양호 : NIS 서비스가 비활성화되어 있거나, 불가피하게 사용 시 NIS+ 서비스를 사용하는 경우 취약 : NIS 서비스가 활성화된 경우
점검결과	[양호] NIS 관련 서비스인 ypserv, ypbind 등의 구동 여부를 확인한 결과 관련 유닛 및 명령어를 찾을 수 없으며 해당패키지가 설치되지 않은 상태임 또한 관련 데몬이 시스템 서비스 리스트에 존재하지 않아 활성화될 가능성이 없으므로 비인가자에 의한 시스템 권한 탈취 등의 보안 위협으로부터 안전한 것으로 판단됨
조치방법	별도 조치 필요 없음

 

 

점검항목	tftp, talk 서비스 비활성화( U-44)
점검내용	tftp, talk, ntalk 서비스의 활성화 여부 점검
점검목적	안전하지 않거나 불필요한 서비스를 제거함으로써 시스템 보안성 및 리소스의 효율적 운용하기 위함
보안 위협	사용하지 않는 서비스나 취약점이 발표된 서비스 운용 시 공격 시도 가능한 위험이 존재함
판단기준	양호 : tftp, talk, ntalk 서비스가 비활성화된 경우 취약 : tftp, talk, ntalk 서비스가 활성화된 경우
점검결과	[양호] xinetd.d 디렉터리 내의 파일 리스트를 확인한 결과 tftp, talk, ntalk 등과 관련된 서비스 설정 파일이 존재하지 않아 해당 서비스들이 원천적으로 비활성화된 상태임 또한 xinetd 데몬에 의해 관리되는 불필요한 서비스가 설치되어 있지 않으므로 인증 절차가 없는 프로토콜 사용에 따른 무단 접근 및 정보 유출 위험이 없는 것으로 판단됨
조치방법	별도 조치 필요 없음

 

 

점검항목	메일 서비스 버전 점검( U-45)
점검내용	취약한 버전의 메일 서비스 이용 여부 점검
점검목적	메일 서비스 사용 목적 검토 및 취약점이 없는 버전의 사용 유무 점검으로 최적화된 메일 서비스의 운영하기 위함
보안 위협	취약점이 발견된 메일 버전의 경우 버퍼 오버플로우(Buffer Overflow) 공격에 의한 시스템 권한 획득 및 주요 정보 노출의 위험이 존재함
판단기준	양호 : 메일 서비스 버전이 최신 버전인 경우 취약 : 메일 서비스 버전이 최신 버전이 아닌 경우
점검결과	[양호]  rpm 명령으로 확인한 결과 sendmail 및 postfix 등 메일 전송 관련 패키지가 설치되어 있지 않음 확인 또한 systemctl 점검 시 관련 서비스 유닛이 존재하지 않고 SMTP 표준 포트인 25번 포트도 비활성화되어 있어 스팸 메일 릴레이 등의 보안 위협이 없는 것으로 판단됨
조치방법	별도 조치 필요 없음

 

 

점검항목	일반 사용자의 메일 서비스 실행 방지( U-46)
점검내용	SMTP 서비스 사용 시 일반 사용자의 q 옵션 제한 여부 점검
점검목적	일반 사용자의 q 옵션을 제한하여 메일 서비스 설정 및 메일 큐를 강제적으로 drop 시킬 수 없게 하여 비인가자에 의한 SMTP 서비스 오류 방지하기 위함
보안 위협	일반 사용자가 q 옵션을 이용해서 메일 큐, 메일 서비스 설정을 보거나 메일 큐를 강제적으로 drop 시킬 수 있어 악의적으로 SMTP 서버의 오류를 발생시킬 위험이 존재함
판단기준	양호 : 일반 사용자의 메일 서비스 실행 방지가 설정된 경우 취약 : 일반 사용자의 메일 서비스 실행 방지가 설정되어 있지 않은 경우
점검결과	[양호]  rpm 명령으로 확인한 결과 sendmail 및 postfix 등 메일 전송 관련 패키지가 설치되어 있지 않음 확인 또한 systemctl 점검 시 관련 서비스 유닛이 존재하지 않고 SMTP 표준 포트인 25번 포트도 비활성화되어 있어 보안 위협이 없는 것으로 판단됨
조치방법	별도 조치 필요 없음

 

 

점검항목	스팸 메일 릴레이 제한( U-47)
점검내용	SMTP 서버의 릴레이 기능 제한 여부 점검
점검목적	스팸 메일 서버로의 악용 방지 및 서버 과부하를 방지하기 위함
보안 위협	SMTP 서버의 릴레이 기능을 제한하지 않을 경우, 악의적인 사용 목적을 가진 사용자들이 스팸 메일 서버로 사용하거나 DoS 공격의 위험이 존재함
판단기준	양호 : 릴레이 제한이 설정된 경우 취약 : 릴레이 제한이 설정되어 있지 않은 경우
점검결과	[양호] rpm 명령으로 확인한 결과 sendmail 및 postfix 등 메일 전송 관련 패키지가 설치되어 있지 않음 확인 또한 systemctl 점검 시 관련 서비스 유닛이 존재하지 않고 SMTP 표준 포트인 25번 포트도 비활성화되어 있어 스팸 메일 릴레이 등의 보안 위협이 없는 것으로 판단됨
조치방법	별도 조치 필요 없음

 

 

점검항목	DNS 보안 버전 패치( U-49)
점검내용	BIND 최신 버전 사용 유무 및 주기적 보안 패치 여부 점검
점검목적	취약점이 발표되지 않은 BIND 버전을 사용하여 시스템 보안성을 높이기 위함
보안 위협	취약점이 내포된 BIND 버전을 사용할 경우, DoS 공격, 버퍼 오버플로우(Buffer Overflow) 및 DNS 서버 원격 침입 등의 위험이 존재함
판단기준	양호 : 주기적으로 패치를 관리하는 경우 취약 : 주기적으로 패치를 관리하고 있지 않은 경우
점검결과	[양호] rpm 및 ls 명령으로 확인한 결과 DNS 운영을 위한 BIND 패키지와 /etc/named.conf 설정 파일이 존재하지 않아 서비스 자체가 활성화되지 않은 상태임 또한 systemctl status 결과에서도 관련 유닛을 찾을 수 없음을 확인하여 서비스 미운영에 따른 보안 취약점 노출 위험이 없는 것으로 판단됨
조치방법	별도 조치 필요 없음

 

 

점검항목	안전한 SNMP 버전 사용( U-50)
점검내용	Secondary Name Server로만 Zone 정보 전송 제한 여부 점검
점검목적	DNS Zone Transfer 설정을 통해 비인가자에 대한 무단 접근을 방지하기 위함
보안 위협	Zone Transfer를 모든 사용자에게 허용할 경우, 비인가자에게 호스트 정보, 시스템 정보 등 중요 정보가 유출될 위험이 존재함
판단기준	양호 : Zone Transfer를 허가된 사용자에게만 허용한 경우 취약 : Zone Transfer를 모든 사용자에게 허용한 경우
점검결과	[양호] rpm 명령 및 named.conf 파일 확인 결과 DNS 서비스 관련 패키지와 설정 파일이 존재하지 않아 서비스 자체가 활성화되지 않은 상태임 또한 systemctl 점검 시 관련 유닛을 찾을 수 없고 53번 표준 포트도 열려 있지 않아 비인가 자의 구역 전송이나 취약점 공격 위험이 없는 것으로 판단됨
조치방법	별도 조치 필요 없음

 

 

점검항목	안전한 SNMP 버전 사용( U-59 )
점검내용	안전한 SNMP 버전 사용 여부 점검
점검목적	안전한 SNMP 버전 사용으로 전송되는 데이터를 보호하기 위함
보안 위협	SNMP 버전이 기준보다 낮을 경우, 응답 패킷이 평문으로 전송되어 스니핑 위험이 존재함
판단기준	양호 : SNMP 서비스를 v3 이상으로 사용하는 경우 취약 : SNMP 서비스를 v2 이하로 사용하는 경우
점검결과	[양호] 시스템에 SNMP가 설치조차 안 되어 있거나 완전히 비활성화된 상태임
조치방법	별도 조치 필요 없음

 

 

 

 

 

 

4. 패치 관리

점검항목	안전한 SNMP 버전 사용( U-64 )
점검내용	시스템에서 최신 패치가 적용 여부 점검
점검목적	주기적인 패치 적용을 통해 시스템 안정성 및 보안성을 확보하기 위함
보안 위협	최신 보안패치가 적용되지 않을 경우, 이미 알려진 취약점을 통하여 공격자에 의해 시스템 침해사고 발생할 위험이 존재함
판단기준	양호 : 패치 적용 정책을 수립하여 주기적으로 패치 관리를 하고 있으며, 패치 관련 내용을 확인하고 적용하였을 경우 취약 : 패치 적용 정책을 수립하지 않고 주기적으로 패치 관리를 하지 않거나, 패치 관련 내용을 확인하지 않고 적용하지 않고 있는 경우
점검결과	[양호] hostnamectl 명령을 통해 확인한 결과 Rocky Linux 8.10 최신 마이너 버전과 4.18.0-553 커널이 적용되어 있어 시스템 안정성과 보안성이 확보된 상태임 또한 벤더에서 권고하는 최신 보안 패치 및 커널 버전을 유지함으로써 이미 알려진 취약점을 통한 공격 위험을 최소화하고 주기적인 패치 관리 정책을 이행하고 있는 것으로 판단됨
조치방법	별도 조치 필요 없음

 

 

 

 

 

 

 

 

 

 

 

 

III. 웹 서비스 

 

1. 계정 관리

점검항목	Default 관리자 계정명 변경      ( WEB-01 )
점검내용	웹 서비스 설치 시 기본적으로 설정된 관리자 계정의 변경 후 사용 여부 점검
점검목적	기본 관리자 계정명과 같은 알려진 계정명을 유추하기 어려운 계정명으로 변경 후 사용하여 공격자에 의한 추측 공격 및 무단 접근 등을 방지하고 보안을 강화하기 위함
보안 위협	기본 관리자 계정명을 변경하지 않고 사용할 경우, 공격자에 의한 계정 및 비밀번호 추측 공격이 가능하고, 이를 통해 불법적인 접근, 데이터 유출, 시스템 장애 등의 보안 사고가 발생할 수 있는 위험이 존재함
판단기준	양호 : 관리자 페이지를 사용하지 않거나, 계정명이 기본 계정명으로 설정되어 있지 않은 경우 취약 : 계정명이 기본 계정명으로 설정되어 있거나, 추측하기 쉬운 문자 조합으로 이루어진 계정명을사용하는           경우
점검결과	[양호] 1.기본 계정 미사용: 아파치 및 시스템 관리 시 root 계정을 직접 사용하지 않고, 유추하기 어려운 별도의 관리 전용 계정인 'ast09'를 생성하여 운영함 2.ast09 계정은 UID 1004를 사용하는 일반 계정으로 생성되었으며,   sudo 설정을 통해 아파치 관리(systemctl, httpd -t 등)에 필요한 최소한의 명령어만 실행할 수 있도록 권한을 제한함.
조치방법	별도 조치 필요 없음.

점검항목	취약한 비밀번호 사용 제한      ( WEB-02 )
점검내용	관리자 계정의 취약한 비밀번호 설정 여부 점검
점검목적	관리자 계정의 비밀번호가 복잡도 기준에 맞게 적용되어 있는지 점검하여, 비인가자에 의한 비밀번호 유추 공격 및 관리자 권한 탈취 등을 방지하기 위함
보안 위협	관리자 계정의 비밀번호를 취약하게 설정하여 사용하는 경우, 비인가자의 비밀번호 유추 공격으로 관리자 권한 탈취 및 시스템 침입 등의 위험이 존재함
판단기준	양호 : 관리자 비밀번호가 암호화되어 있거나, 유추하기 어려운 비밀번호로 설정된 경우 취약 : 관리자 비밀번호가 암호화되어 있지 않거나, 유추하기 쉬운 비밀번호로 설정된 경우
점검결과	[양호]  관리자 계정(ast09)에 대해 영문 및 숫자가 조합된 유추하기 어려운 복잡한 비밀번호(zaqxsw1234)를 설정하여 무차별 대입 공격(Brute Force Attack) 및 사전 공격(Dictionary Attack)에 대비함
조치방법	별도 조치 필요 없음.

 

점검항목	비밀번호 파일 권한 관리  ( WEB-03 )
점검내용	비밀번호 파일에 대해 적절한 접근 권한 설정 여부 점검
점검목적	비밀번호 파일의 접근 권한을 적절하게 설정하여 비인가자가 비밀번호 파일에 무단 접근 및 유출 등을 방지하기 위함
보안 위협	비밀번호 파일의 권한을 적절하게 설정하지 않은 경우, 비인가자에게 비밀번호 정보가 노출될 수 있고 웹 서버에 접속하는 등의 침해사고가 발생할 위험이 존재함
판단기준	양호 : 비밀번호 파일에 권한이 600 이하로 설정된 경우 취약 : 비밀번호 파일에 권한이 600 초과로 설정된 경우
점검결과	[양호]  아파치 설치 디렉터리인 /etc/httpd 및 하위 설정 디렉터리를 점검한 결과, 사용자 인증을 위한 별도의 비밀번호 파일(.htpasswd 등)이 존재하지 않음을 확인함.
조치방법	별도 조치 필요 없음

 

 

2. 서비스 관리

점검항목	웹 서비스 디렉터리 리스팅 방지 설정   ( WEB-04 )
점검내용	디렉터리 리스팅 기능 차단 여부 점검
점검목적	웹 서버에 대한 디렉터리 리스팅 기능을 차단하여 디렉터리 내의 모든 파일에 대한 접근 및 정보 노출을 차단하기 위함
보안 위협	디렉터리 리스팅 기능이 차단되지 않은 경우, 비인가자가 해당 디렉터리 내의 모든 파일의 리스트 확인 및 접근이 가능하고, 웹 서버의 구조 및 백업 파일이나 소스 파일 등 공개되면 안 되는 중요 파일들이 노출될 위험이 존재함
판단기준	양호 : 디렉터리 리스팅이 설정되지 않은 경우 취약 : 디렉터리 리스팅이 설정된 경우
점검결과	[취약]  아파치 설정 디렉터리(/etc/httpd/) 내 파일들을 전수 조사한 결과, 아래 파일들에서 디렉터리 리스팅을 허용하는 Indexes 지시자가 발견됨 /etc/httpd/conf/httpd.conf /etc/httpd/conf.d/autoindex.conf /etc/httpd/conf.d/userdir.conf
조치방법	각 설정파일에 Indexes지시자를 제거함

 

점검항목	지정하지 않은 CGI/ISAPI 실행 제한   ( WEB-05 )
점검내용	웹 서비스 CGI 실행 제한 설정 여부 점검
점검목적	CGI 스크립트를 정해진 디렉터리에서만 실행되도록 하여 악의적인 파일의 업로드 및 실행을 방지하기 위함
보안 위협	게시판이나 자료실과 같이 업로드되는 파일이 저장되는 디렉터리에 CGI 스크립트가 실행 가능한 경우 악의적인 파일을 업로드하고 이를 실행하여 시스템의 중요 정보가 노출될 수 있으며 침해사고의 경로로 이용될 위험이 존재함
판단기준	양호 : CGI 스크립트를 사용하지 않거나 CGI 스크립트가 실행 가능한 디렉터리를 제한한 경우 취약 : CGI 스크립트를 사용하고 CGI 스크립트가 실행 가능한 디렉터리를 제한하지 않은 경우
점검결과	[양호] 아파치 설정 파일(httpd.conf) 및 하위 설정 파일(conf.d/*.conf)을 대상으로 CGI 실행 권한 설정 여부를 전수 조사한 결과, httpd 설정파일에서 발견된 모든 'ExecCGI' 지시자가 주석(#) 처리되어 있어 실제적인 CGI 실행 권한이 부여되지 않았음을 확인
조치방법	별도 조치 필요 없음

점검항목	웹 서비스 상위 디렉터리 접근 제한 설정    ( WEB-06)
점검내용	“..” 와 같은 문자사용 등을 통한 상위 디렉터리 접근 제한 여부 점검
점검목적	상위 디렉터리 접근 제한 설정을 통해 비인가자의 특정 디렉터리에 대한 접근 및 열람을 제한하여 중요 파일 및 데이터를 보호하고, Unicode 버그 및 서비스 거부 공격 등을 방지하기 위함
보안 위협	●상위 디렉터리로 이동하는 것이 가능할 경우 접근하고자 하는 디렉터리의 하위 경로에서 상위로    이동하며 정보 탐색이 가능하여 중요 정보가 노출될 위험이 존재함 ● 악의적인 목적을 가진 사용자가 중요 파일 및 디렉터리의 접근이 가능하여 데이터가 유출될 위험이 존재
판단기준	양호 : 상위 디렉터리 접근 기능을 제거한 경우 취약 : 상위 디렉터리 접근 기능을 제거하지 않은 경우
점검결과	[양호] 웹 서버 전체 경로(/)에 대해 접근 차단 정책(Require all denied)이 적용되어 있어 불필요한 상위 디렉터리 접근을 제한하고 있음. /etc/httpd/conf/httpd.conf
조치방법	별도 조치 필요 없음

점검항목	웹 서비스 프로세스 권한 제한(WEB-09)
점검내용	웹 서비스 프로세스의 관리자 권한 구동 여부 점검
점검목적	웹 프로세스가 웹 서비스 운영에 필요한 최소한의 권한만을 갖도록 제한함으로써 웹 사이트 방문자가 웹 서비스의 취약점을 이용해 시스템에 대한 어떤 권한도 획득할 수 없도록 하여 침해사고 발생 시 피해 범위 확산을 방지하기 위함
보안위협	웹 프로세스 권한을 제한하지 않은 경우, 웹 사이트 방문자가 웹 서비스의 취약점을 이용하여 시스템 권한을 획득할 수 있으며, 웹 취약점을 통해 접속 권한을 획득한 경우에는 관리자 권한을 획득하여 서버에 접속 후 정보의 변경, 훼손 및 유출될 위험이 존재함
판단기준	양호 : 웹 프로세스(웹 서비스)가 관리자 권한이 부여된 계정이 아닌 운영에 필요한 최소한의 권한을 가진 별도의 계정으로 구동되고 있는 경우 취약 : 웹 프로세스(웹 서비스)가 관리자 권한이 부여된 계정으로 구동되고 있는 경우
점검결과	[양호] 웹 서비스 프로세스 확인 결과, 메인 프로세스(Master)만 관리자(root) 권한으로 구동 중이며, 실제 웹 요청을 처리하는 하위(Worker) 프로세스들은 일반 계정(apache)으로 권한 분리(Privilege Separation)되어 안전하게 구동되고 있음
조치방법	별도 조치 필요 없음

점검항목	불필요한 프록시 설정 제한(WEB-10)
점검내용	불필요한 프록시 설정 제한
점검목적	불필요한 Proxy 설정을 제한하여 자원 낭비 예방 및 관리의 복잡성을 감소시키며, 중간자 공격 등의 해킹 공격으로부터 시스템 관련 정보가 노출되거나 악용되는 것을 방지하기 위함
보안위협	불필요한 Proxy 설정을 제한하지 않는 경우 공격자가 Proxy 서버를 이용하여 원래 의도되지 않은 방식으로 시스템에 접근하거나 시스템 관련 정보가 유출될 위험이 존재함
판단기준	양호 : 불필요한 Proxy 설정을 제한한 경우 취약 : 불필요한 Proxy 설정을 제한하지 않은 경우
점검결과	[양호] 서버 설정 파일 내 프록시 관련 설정 확인 결과, 프록시 기능이 활성화되어 있지 않음을 확인하였음
조치방법	별도 조치 필요 없음

점검항목	웹 서비스 설정 파일 노출 제한(WEB-13)
점검내용	DB 연결 파일에 대한 접근 권한, 스크립트 매핑 등 웹 서비스에서의 DB 연결 취약점 존재 여부 점검
점검목적	웹 서비스에서 DB 연결 파일에 대한 접근 권한 제한 및 불필요한 스크립트 매핑을 제거하여, DB 연결 정보(사용자 이름, 비밀번호 등)가 외부에 노출되거나 공격자의 DB 접근 및 관리자 권한 획득 등의 다양한 공격을 방지하기 위함
보안위협	웹 서비스에서 DB 연결 파일에 대한 접근 권한 제한 및 불필요한 스크립트 매핑을 제거하지 않을 경우, DB 연결 파일에 존재하는 데이터베이스 관련 정보(IP주소, DB명, 비밀번호), 서버 내부 IP주소, 웹 서비스 환경설정 정보 등 보안상 민감한 내용이 악의적인 사용자에게 노출될 위험이 존재함
판단기준	양호 : 일반 사용자의 DB 연결 파일에 대한 접근을 제한하고, 불필요한 스크립트 매핑이 제거된 경우 취약 : 일반 사용자의 DB 연결 파일에 대한 접근을 제한하지 않거나, 불필요한 스크립트 매핑이 제거되지 않은 경우
점검결과	해당 없음
조치방법	해당 없음

점검항목	웹 서비스 경로 내 파일의 접근 통제(WEB-14)
점검내용	웹 서비스 경로의 파일들에 대해 관리자를 제외한 일반 사용자의 파일 접근 권한 제거 여부 점검
점검목적	웹 서비스 경로의 파일들에 관리자를 제외한 일반 사용자의 파일 접근 권한을 제거함으로써 인가되지 않은 사용자가 허용되지 않는 파일에 접근하는 것을 차단하기 위함
보안위협	웹 서비스 경로 파일에 비인가자가 접근 가능한 경우, 해당 파일의 수정 및 삭제로 인해 웹 서비스 운영 장애 및 계정 비밀번호 정보 등의 중요한 정보가 노출될 위험이 존재함
판단기준	양호 : 주요 설정 파일 및 디렉터리에 불필요한 접근 권한이 부여되지 않은 경우 취약 : 주요 설정 파일 및 디렉터리에 불필요한 접근 권한이 부여된 경우
점검결과	[취약] ls -l 명령어로 확인 결과, /etc/httpd/conf/httpd.conf 와 /etc/httpd/conf.d/ 의 권한이 644(-rw-r--r--)로 설정되어 있어, 관리자 외 일반 사용자(others)에게 읽기 권한이 허용된 상태임
조치방법	접근 권한 제한: 가이드라인 기준에 따라  /etc/httpd/conf/httpd.conf 와 /etc/httpd/conf.d/의 권한을                           750으로 지정함

점검항목	웹 서비스의 불필요한 스크립트 매핑 제거(WEB-15)
점검내용	웹 서비스 내 불필요 스크립트 매핑 제거 여부 점검
점검목적	웹 서비스에서 사용하지 않는 불필요 스크립트 매핑이 존재하는지 점검하여 잠재적 보안 위협을 방지하기 위함
보안위협	웹 서비스에서 불필요한 스크립트 매핑을 제거하지 않은 경우, 버퍼 오버플로우(Buffer Overflow), 서비스 거부 공격(Denial of Service), 크로스 사이트 스크립팅(Cross Site Scripting) 등의 공격 위험이 존재함
판단기준	양호 : 불필요한 스크립트 매핑이 존재하지 않는 경우 취약 : 불필요한 스크립트 매핑이 존재하는 경우
점검결과	해당 없음
조치방법	해당 없음

점검항목	웹 서비스 헤더 정보 노출 제한(WEB-16)
점검내용	웹페이지 응답 헤더에서 버전 정보, 사용 중인 OS 등의 서버 정보 노출 여부 점검
점검목적	HTTP 응답 헤더에서 웹 서버 버전 및 종류, OS 정보 등 웹 서버와 관련된 정보가 불필요하게 노출되는 것을 최소화하기 위함
보안위협	웹 서버 및 OS 정보가 노출될 경우 공격자에 의해 해당 버전의 알려진 취약점을 이용하여 시스템 구조와 특성 노출 및 해당 취약점을 통한 공격의 위험이 존재함
판단기준	양호: HTTP 응답 헤더에서 웹 서버 정보가 노출되지 않는 경우 취약 : HTTP 응답 헤더에서 웹 서버 정보가 노출되는 경우
점검결과	[취약] curl -I localhost 확인 결과, 응답 헤더에 Server: Apache/2.4.37 (Rocky Linux)가 노출되어 상세 시스템 정보가 확인됨
조치방법	1. /etc/httpd/conf/httpd.conf 파일 수정 2. 설정 파일 하단에 다음 내용 추가/수정: ServerTokens Prod ServerSignature Off 3. 설정 검사 및 서비스 재시작: # apachectl configtest 이후 # systemctl restart httpd

점검항목	웹 서비스 WebDAV 비활성화(WEB-18)
점검내용	웹 서비스 WebDAV 비활성화 여부 점검
점검목적	WebDAV 서비스를 비활성화하여, WebDAV에서 발견되는 다수의 인증 우회 취약점을 제거하고자 함
보안위협	WebDAV가 활성화되어 있는 경우 웹 서비스에 악의적으로 작성된 요청을 이용하여 인증을 우회함으로써 비밀번호로 보호된 WebDAV의 자원에 접근 (디렉터리 열람, 파일 다운로드 등)이 가능하며, WebDAV에 의해 호출된 일부 구성요소에 매개 변수를 정확하게 점검하지 않는 결함이 존재하여, 이로 인해 버퍼 오버런이 발생할 위험이 존재함
판단기준	양호 : WebDAV 서비스를 비활성화하고 있는 경우 취약 : WebDAV 서비스를 활성화하고 있는 경우
점검결과	[양호]  설정 파일(httpd.conf) 확인 결과, 보안상 취약점을 유발할 수 있는 불필요한 Alias 설정이나 활성화된 Dav 지시자가 존재하지 않음을 확인함
조치방법	별도 조치 필요 없음

 

 

3. 보안 설정

점검항목	웹 서비스 상위 디렉터리 접근 제한 설정    ( WEB-20)
점검내용	서버와 클라이언트 간 통신 시 데이터 암호화 전송 여부 점검
점검목적	서버와 클라이언트 간 통신 시 데이터의 평문 전송을 사용하지 않고 데이터가 암호화되는 SSL/TLS 인증 암호화 접속을 통해 스니핑을 통한 정보 유출의 위험을 방지하기 위함
보안 위협	●웹상의 데이터 통신 시 서버와 클라이언트 간에 데이터를 평문 전송하는 경우, 간단한 도청(스니핑)을 통해 정보가 탈취 및 도용될 위험이 존재함 ● SSL/TLS가 활성화되어 있지 않을 경우, 데이터는 암호화되지 않아 공격자가 중간에서 데이터를 가로채거나 도청할 수 있으며, 더 나아가 평문으로 전송되어 중간에서 변경될 우려가 있어 데이터의 정확성이 훼손될 위험이 존재함
판단기준	양호 : SSL/TLS 설정이 활성화되어 있는 경우 취약 : SSL/TLS 설정이 비활성화되어 있는 경우
점검결과	[취약] ssl 미설치 확인
조치방법	1.ssl 설치 dnf install mod_ssl -y 2.ssl 인증서 생성 openssl req -x509 -nodes -days 365 \ -newkey rsa:2048 \ -keyout /etc/pki/tls/private/localhost.key \ -out /etc/pki/tls/certs/localhost.crt 3.SSL 모듈 활성화 확인 httpd -M | grep ssl 4.Apache재부팅 systemctl restart httpd 5.HTTPS 활성화 확 ss -antp | grep 443

 

4. 패치 및 로그 관리

점검항목	주기적 보안 패치 및 벤더 권고사항 적용     ( WEB-25)
점검내용	최신 보안 패치 적용 여부 점검
점검목적	주기적인 최신 보안 패치를 통해 보안성 및 시스템 안정성을 확보하기 위함
보안 위협	주기적으로 최신 보안 패치를 적용하지 않을 경우, 알려진 취약점을 이용한 공격 또는 새로운 공격에 대한 침해사고 발생 위험이 존재함
판단기준	양호 : 최신 보안 패치가 적용되어 있으며, 패치 적용 정책을 수립하여 주기적인 패치 관리를 하는 경우 취약 : 최신 보안 패치가 적용되어 있지 않거나 패치 적용 정책을 수립 및 주기적인 패치 관리를 하지 않는 경우
점검결과	[양호] 최신 보안 패치가 적용되어 있음
조치방법	별도 조치 필요 없음