데이터베이스 접근 제어에서 꼭 필요한 만큼만 권한을 준 경험을 1인칭으로 설명한다.
제가 학부 프로젝트에서 데이터베이스를 다루는 시스템을 만들어 본 경험이 있습니다. 처음에 저는 편하게 하려고, 모든 사용자에게 데이터베이스 전체 권한을 덮어놓고 줬습니다.
그런데 그 방식은 위험했습니다. 한 사용자의 계정에 문제가 생기면, 데이터 전체가 노출될 수 있었습니다. 그 점을 뒤늦게 안 게 제 실패였습니다.
그 일 이후 저는 접근 제어에서 꼭 필요한 만큼만 권한을 주는 원칙을 지켰습니다. 데이터를 읽기만 하면 되는 사용자에게는 읽기 권한만, 특정 부분만 다루면 그 부분만 열어줬습니다. 데이터베이스 보안을 구현하며 제가 쓴 접근 제어 방법은, 권한을 덮어놓고 넓게 주는 게 아니라 각자에게 필요한 최소한만 주는 것이었습니다. 그래야 한 곳이 뚫려도 피해가 작았습니다.