3. DB 취약점 분석 구축

가. 모의 해킹 (Penetration Test)

DB 모의해킹(Database Penetration Test)란 DB 계정을 소유하지 않은 외부 사용자에 의한 DB 침해공격을 시뮬레이션(Simulation)하는 행위를 의미한다. 통해 취약점을 검출 하거나 수집된 취약점 지식 DB를 통해 외부공격자의 침투가능 경로를 검출할 수 있다.
모의해킹(Penetration Test)의 주요 점검 항목은 다음과 같다.
■DB 서비스 프로세스의 여부 점검
■DB의 패스워드를 Brute Forcing, Dictionary Attack, Password Cracking 기법을 통해 안전하지 못한 DB 패스워드 추출 여부 점검
■버퍼 오버플로 공격에 대한 DB 서비스 오동작 여부 점검
■Dos(Denial of Service) 공격에 대한 DB 다운이나 서비스 불가 요부 점검
■DB의 비정상 설정으로 인한 비정상 침투 경로 존재 여부 점검

나. 내부 보안감사(Security Auditing)

DB 내부 보안감사(Database Security Auditing)는 알려진 취약점과 더불어 DB가 보안상 안전하게 설치되고 운영되는가를 점검하고, 더불어 DB를 구성하는 File, Table Space, OS, Role, Grant 등의 다각적 보안 검토를 의미한다. 내부 보안감사 (Security Auditing) 에서의 주요 점검 항목은 다음과 같다.
■패스워드를 포함하는 Database User Account 정보
■모든 Profile과 각 Profile의 Resource 정보
■DB User의 다른 Role에 부여된 Role 정보
■Database 내의 모든 Role에 대한 상세 정보
■Database User의 다른 Role에 부여된 System Role 정보
■Database User에게 부여된 System 권한 정보
■Database 프로세스와 세션 정보

다. Oracle DB 취약점 점검 리스트

라. IBM DB2 Database 취약점 점검 리스트

마. Microsoft SQL Server Database 취약점 점검 리스트