인증기준
- 데이터베이스 내 정보를 식별하고 중요도와 사용자 유형에 따른 접근통제 정책을 이행하여야 합니다.
주요 확인사항
- 데이터베이스 내 저장된 테이블 및 개인정보 현황을 식별하고 있는지 확인합니다.
- 접근이 필요한 응용프로그램 및 사용자를 식별하여 통제하는지 점검합니다.
세부 설명
- 개인정보가 저장된 데이터베이스는 DMZ에 위치하지 않도록 제한해야 합니다.
- 응용프로그램 공용 계정과 개인별 사용자 계정을 구분하여 사용해야 합니다.
결함 사례
- 사례 1 : 개인정보 데이터베이스를 외부망에 노출된 웹 서버와 물리적으로 동일한 서버에서 운영하는 경우.
- 사례 2 : 접근제어 솔루션을 우회하여 DB에 직접 접속할 수 있는 설정이 발견된 경우.