DMZ, DB팜 그리고 법 (ISMS, 전자금융감독규정)

네트워크 보안 관점에서 DB의 접근통제는 어떻게 적용해야 하는가?

 

우선 ISMS 통제항목을 기준으로 쉽게 이해해보자.

업무목적 및 중요도에 따라 네트워크 분리를 적용하도록 권고하며, 예시로 DB팜을 분리하도록 되어있다.

불가피하게 DB를 DMZ에 위치할 수도 있지만, 특별한 경우가 아니라면 접근통제 관점에서 DB팜을 분리하기를 권고한다. 단, 전자금융감독규정에 따르면 DMZ 구간 내에 주요 정보를 저장할 수 없다. (거래로그는 암호화 저장)

 

---

ISMS 기준

2.6.1 네트워크 접근

네트워크에 대한 비인가 접근을 통제하기 위하여 IP 관리, 단말인증 등 관리절차를 수립ㆍ이행하고 업무목적 및 중요도에 따라 네트워크 분리(DMZ, 서버팜, DB존, 개발존 등)와 접근통제를 적용하여야 한다.

DMZ

외부 서비스를 위한 웹서버, 메일서버 등 공개서버는 DMZ에 위치
DMZ를 경유하지 않은 인터넷에서 내부 시스템으로의 직접 연결은 차단

서버팜

다른 네트워크 영역과 구분하여 구성

인가받은 내부 사용자의 접근만 허용하도록 접근통제 정책 적용

DB팜

개인정보 등 중요정보가 저장된 DB가 위치한 네트워크 영역은 다른 네트워크 영역과 분리

---

개인정보의 안전성 확보조치

 

개인정보보호법-개인정보보호법 시행령-개인정보의 안전성 확보조치

제7조(개인정보의 암호화)에 따르면, 개인정보처리자는 DMZ에 고유식별정보를 저장하는 경우에는 이를 암호화하여야 한다.

---

전자금융감독규정

 

전자금융감독규정 제17조(홈페이지 등 공개용 웹서버 관리대책)

DMZ 구간 내에 이용자 정보 등 주요 정보를 저장 및 관리하지 아니할 것(다만, 거래로그를 관리하기 위한 경우에는 예외로 하되 이 경우 반드시 암호화하여 저장ㆍ관리하여야 한다.

---