2.6.4. 데이터베이스 접근

 

항목	2.6.4. 데이터베이스 접근
키워드	데이터베이스 테이블 목록 식별, 접근통제(응용프로그램, 서버, 사용자)
인증기준	테이블 목록 등 데이터베이스 내에서 저장·관리되고 있는 정보를 식별하고, 정보의 중요도와 응용프로그램 및 사용자 유형 등에 따른 접근통제 정책을 수립·이행하여야 한다.
주요 확인사항	Ÿ 데이터베이스의 테이블 목록 등 저장·관리되고 있는 정보를 식별하고 있는가?   Ÿ 데이터베이스 내 정보에 접근이 필요한 응용프로그램, 정보시스템(서버) 및 사용자를 명확히 식별하고 접근통제 정책에 따라 통제하고 있는가?
관련 법규	Ÿ 개인정보 보호법 제29조(안전조치의무)   Ÿ 개인정보의 안전성 확보조치 기준 제5조(접근권한의 관리), 제6조(접근통제)   Ÿ 개인정보의 기술적·관리적 보호조치 기준 제4조(접근통제)
증거자료   (예시)	Ÿ 데이터베이스 현황(테이블, 컬럼 등)   Ÿ 데이터베이스 접속자 계정/권한 목록   Ÿ 데이터베이스 접근제어 정책(데이터베이스 접근제어시스템 관리화면 등)   Ÿ 네트워크 구성도(데이터베이스존 등)   Ÿ 정보자산 목록
결함사례	사례 1 : 대량의 개인정보를 보관·처리하고 있는 데이터베이스를 인터넷을 통하여 접근 가능한 웹 응용프로그램과 분리하지 않고 물리적으로 동일한 서버에서 운영하고 있는 경우   사례 2 : 개발자 및 운영자들이 응응 프로그램에서 사용하고 있는 계정을 공유하여 운영 데이터베이스에 접속하고 있는 경우   사례 3 : 내부 규정에는 데이터베이스의 접속권한을 오브젝트별로 제한하도록 되어 있으나, 데이터베이스 접근권한을 운영자에게 일괄 부여하고 있어 개인정보 테이블에 접근할 필요가 없는 운영자에게도 과도하게 접근 권한이 부여된 경우   사례 4 : 데이터베이스 접근제어 솔루션을 도입하여 운영하고 있으나, 데이터베이스 접속자에 대한 IP주소 등이 적절히 제한되어 있지 않아 데이터베이스 접근제어 솔루션을 우회하여 데이터베이스에 접속하고 있는 경우   사례 5 : 개인정보를 저장하고 있는 데이터베이스의 테이블 현황이 파악되지 않아, 임시로 생성된 테이블에 불필요한 개인정보가 파기되지 않고 대량으로 저장되어 있는 경우