주요사항

DBMS 접근통제 정책 수립·이행, DB 내 정보 목록 현행화

인증기준

테이블 목록 등 데이터베이스 내에서 저장·관리되고 있는 정보를 식별하고, 정보의 중요도와 응용프로그램 및 사용자 유형 등에 따른 접근통제 정책을 수립·이행하여야 한다.

확인사항

  • 데이터베이스의 테이블 목록 등 저장·관리되고 있는 정보를 식별하고 있는가?
  • 데이터베이스 내 정보에 접근이 필요한 응용프로그램, 정보시스템(서버) 및 사용자를 명확히 식별하고 접근통제 정책에 따라 통제하고 있는가?

가상자산 사업자 확인사항

  • 가상자산 거래 관련 중요 DB(월렛관련 DB, 회원DB, 가상자산 보유 현황 등)의 테이블 목록 등 저장, 관리되고 있는 정보를 식별하고 있는가?

결함사례

  • 대량의 개인정보를 보관·처리하고 있는 데이터베이스를 인터넷을 통해 접근 가능한 웹 응용프로그램과 분리하지 않고 물리적으로 동일한 서버에서 운영하고 있는 경우
  • 개발자 및 운영자들이 응응 프로그램에서 사용하고 있는 계정을 공유하여 운영 데이터베이스에 접속하고 있는 경우
  • 내부 규정에는 데이터베이스의 접속권한을 오브젝트별로 제한하도록 되어 있으나, 데이터베이스 접근권한을 운영자에게 일괄 부여하고 있어 개인정보 테이블에 접근할 필요가 없는 운영자에게도 과도하게 접근 권한이 부여된 경우
  • DB접근제어 솔루션을 도입하여 운영하고 있으나, 데이터베이스 접속자에 대한 IP주소 등이 적절히 제한되어 있지 않아 DB접근제어 솔루션을 우회하여 데이터베이스에 접속하고 있는 경우
  • 개인정보를 저장하고 있는 데이터베이스의 테이블 현황이 파악되지 않아, 임시로 생성된 테이블에 불필요한 개인정보가 파기되지 않고 대량으로 저장되어 있는 경우