수업 과제에서 소규모 서비스의 DB 접근 정책을 설계한 경험
데이터베이스 보안 수업에서 가상의 쇼핑몰 서비스를 설정하고 접근 권한 정책을 설계하는 과제를 했습니다. 관리자, 개발자, 분석가로 역할을 나누고 각 역할마다 접근 가능한 테이블과 쿼리 유형을 제한하는 구조를 만들었습니다. 처음엔 모든 개발자에게 전체 테이블 접근을 줬는데, 교수님이 '개인정보 테이블은 접근 최소화가 원칙'이라고 지적해서 수정했습니다. 파기 정책은 법적 보유 기간이 지난 데이터를 어떻게 삭제할지를 절차화해야 한다는 것까지 공부했습니다. 실무 경험은 없지만, 접근 권한 설계에서 최소 권한 원칙이 핵심이라는 걸 그때 이해했습니다.