(정보시스템 보안 통제 설정서 / Technical Control Statement)
문서명: DB 서버 보안 통제 설정서
적용범위: Rocky Linux 8/9 + MariaDB 10.x
연계 기준: ISMS-P, ISO/IEC 27001:2022
작성부서: 인프라운영팀
승인권자: 정보보호최고책임자(CISO)
1. 문서 목적 및 범위
1.1 목적
본 문서는 ISMS 및 ISO/IEC 27001 인증 심사 시 요구되는
기술적 보호조치의 구현 여부와 운영 적정성을 증빙하기 위해 작성되었다.
1.2 적용 범위
- DB 서버(OS 및 DBMS)
- 운영·개발·백업 계정
- 네트워크 접근 통제
- 로그·감사·백업·복구 체계
2. 자산 식별 및 중요도 분류
| 항목 | 내용 |
|---|---|
| 자산명 | MariaDB 운영 서버 |
| 자산 유형 | 정보처리시스템 (DB) |
| 처리 정보 | 고객정보, 업무 데이터 |
| 중요도 | ★★★★★ (기밀/중요) |
| 영향도 | 가용성·무결성·기밀성 모두 高 |
📌 ISMS 연계: 보호대책 수립 대상 자산
📌 ISO27001 연계: A.5.9 / A.8.1
3. 접근통제 설정 (Access Control)
3.1 계정 관리 정책
| 항목 | 설정 내용 |
|---|---|
| root 계정 | 로컬 접속만 허용 |
| 운영 계정 | 업무별 분리 계정 사용 |
| 공용 계정 | 미사용 (금지) |
| 계정 검토 | 분기 1회 이상 점검 |
설정 증빙
SELECT User, Host FROM mysql.user;
📌 ISMS: 접근권한 관리
📌 ISO27001: A.5.15, A.8.2
3.2 최소 권한 설정
GRANT SELECT, INSERT, UPDATE, DELETE
ON appdb.*
TO 'appuser'@'10.10.10.20';
SUPER,FILE,PROCESS권한 미부여%Host 접근 금지
4. 네트워크 보안 통제
4.1 방화벽 설정
firewall-cmd --add-rich-rule='
rule family="ipv4"
source address="10.10.10.0/24"
port protocol="tcp" port="3306" accept'
| 항목 | 설정 |
|---|---|
| 허용 IP | 애플리케이션 서버 대역 |
| 외부 접속 | 차단 |
| 관리 포트 | 제한 |
📌 ISMS: 네트워크 접근통제
📌 ISO27001: A.8.20
4.2 통신 암호화 (TLS)
[mysqld]
require_secure_transport=ON
ALTER USER 'appuser'@'10.10.10.20' REQUIRE SSL;
5. 시스템 보안(OS) 설정
5.1 SELinux
| 항목 | 설정 |
|---|---|
| SELinux | Enforcing |
| mysql_connect_any | 비활성화 |
getenforce
setsebool -P mysql_connect_any 0
📌 ISMS: 시스템 접근통제
📌 ISO27001: A.8.5
6. 로그 및 감사 관리
6.1 접속 및 행위 로그
[mysqld]
log_error=/var/log/mariadb/error.log
slow_query_log=ON
6.2 감사 로그 (Audit Plugin)
INSTALL SONAME 'server_audit';
server_audit_logging=ON
server_audit_events=CONNECT,QUERY
| 항목 | 내용 |
|---|---|
| 로그 보관 | 1년 |
| 접근 권한 | 보안 관리자만 |
| 위·변조 방지 | root 전용 |
📌 ISMS: 로그관리 및 모니터링
📌 ISO27001: A.8.15
7. 데이터 보호 및 백업
7.1 백업 정책
| 항목 | 설정 |
|---|---|
| 백업 주기 | 일 1회 |
| 보관 기간 | 6개월 |
| 백업 위치 | 외부 스토리지 |
| 암호화 | 적용 |
mysqldump appdb | gpg --encrypt > appdb.sql.gpg
📌 ISMS: 백업 및 복구
📌 ISO27001: A.8.13
8. 변경 및 취약점 관리
| 항목 | 정책 |
|---|---|
| 설정 변경 | 변경관리 절차 승인 후 적용 |
| 패치 | 월 1회 이상 |
| 취약점 점검 | 연 1회 이상 |
📌 ISMS: 변경관리
📌 ISO27001: A.8.32
9. 사고 대응 및 DR 연계
| 항목 | 내용 |
|---|---|
| 침해 대응 | 사고 대응 절차서 연계 |
| 복구 목표 | RTO 4시간 / RPO 1시간 |
| DR 테스트 | 연 1회 |
📌 ISMS: 사고 대응
📌 ISO27001: A.5.24
10. 심사 대응용 증빙 목록 (중요)
| 구분 | 증빙 자료 |
|---|---|
| 계정 관리 | DB 계정 목록 캡처 |
| 접근통제 | 방화벽 설정 화면 |
| 암호화 | SSL 설정 파일 |
| 로그 | 감사 로그 샘플 |
| 백업 | 백업 스케줄 캡처 |
| 정책 | 접근통제·백업 정책 문서 |
11. 결론
본 시스템은 ISMS 및 ISO/IEC 27001에서 요구하는
접근통제, 네트워크 보안, 로그관리, 데이터 보호, 사고 대응 통제를
기술적·관리적으로 충족하고 있으며,
정기 점검 및 개선 활동을 통해 지속적으로 운영되고 있다.