📌 PostgreSQL로 시작하는 데이터베이스 관리: 이론과 실습 - PostgreSQL 보안 및 접근 제어

📌 PostgreSQL로 시작하는 데이터베이스 관리: 이론과 실습

3.2 PostgreSQL 보안 및 접근 제어

PostgreSQL을 안전하게 운영하기 위해서는 사용자 접근 제어, 인증 방식 설정, 데이터 암호화 등 다양한 보안 기능을 이해하고 적용해야 합니다.
이번 글에서는 PostgreSQL의 보안 개념과 주요 설정 방법을 다루겠습니다.

---

3.2.1 PostgreSQL 보안 개요

PostgreSQL은 기본적으로 강력한 보안 기능을 제공하며,
✅ 사용자 인증(Authentication)
✅ 권한 관리(Role & Privileges)
✅ 데이터 암호화(Encryption)
✅ 네트워크 보안(SSL/TLS)
✅ 로그 및 감사 기능(Logging & Auditing)

등을 통해 데이터베이스를 안전하게 보호할 수 있습니다.

---

3.2.2 PostgreSQL 사용자 및 역할(Role) 관리

반응형

PostgreSQL에서는 사용자를 관리하기 위해 Role(역할) 시스템을 사용합니다.
✅ CREATE ROLE을 사용하여 새로운 사용자를 생성
✅ GRANT 명령어로 특정 권한을 부여
✅ REVOKE 명령어로 권한 제거

🔹 사용자(Role) 생성하기

CREATE ROLE db_user WITH LOGIN PASSWORD 'securepassword';

✅ WITH LOGIN → 로그인 가능한 사용자 생성
✅ PASSWORD → 보안 강화를 위해 강력한 비밀번호 사용

---

🔹 사용자(Role)에 특정 데이터베이스 접근 권한 부여

GRANT CONNECT ON DATABASE mydb TO db_user;

✅ mydb 데이터베이스에 접속 권한만 부여

GRANT ALL PRIVILEGES ON DATABASE mydb TO db_user;

✅ mydb 데이터베이스에 모든 권한 부여

---

🔹 테이블 및 개별 권한 부여

GRANT SELECT, INSERT, UPDATE ON users TO db_user;

✅ users 테이블에 읽기(SELECT), 삽입(INSERT), 수정(UPDATE) 권한 부여

REVOKE INSERT ON users FROM db_user;

✅ db_user의 INSERT 권한 제거

---

3.2.3 PostgreSQL 인증 방식 설정 (pg_hba.conf)

PostgreSQL은 사용자 인증을 관리하기 위해 pg_hba.conf (Host-Based Authentication) 설정 파일을 사용합니다.

sudo nano /etc/postgresql/17/main/pg_hba.conf

✅ 파일 위치는 OS 및 PostgreSQL 버전에 따라 다를 수 있음

---

🔹 pg_hba.conf 설정 형식

# TYPE  DATABASE  USER  ADDRESS       METHOD
local   all       all                 md5
host    all       all   192.168.1.0/24 scram-sha-256
host    all       all   127.0.0.1/32   trust

🔹 주요 인증 방식 설명

인증 방식 설명

trust	인증 없이 로그인 허용 (비추천)
md5	비밀번호 기반 인증 (SHA-256 미지원)
scram-sha-256	보안이 강화된 비밀번호 인증 (권장)
peer	OS 계정과 PostgreSQL 계정이 동일하면 인증 생략
ldap	LDAP 서버를 이용한 외부 인증
cert	SSL/TLS 인증서 기반 인증

💡 운영 환경에서는 scram-sha-256 또는 cert 방식을 사용하는 것이 가장 안전합니다.

---

3.2.4 PostgreSQL 데이터 암호화 및 보안 설정

🔹 비밀번호 암호화 설정 (scram-sha-256)

PostgreSQL 10부터 scram-sha-256 인증 방식이 기본 지원됩니다.
postgresql.conf에서 비밀번호 암호화 방식을 설정합니다.

password_encryption = scram-sha-256

✅ 기존 사용자 비밀번호를 암호화 방식으로 변경

ALTER ROLE db_user WITH ENCRYPTED PASSWORD 'securepassword';

---

🔹 SSL/TLS를 이용한 네트워크 암호화

PostgreSQL은 네트워크 트래픽을 보호하기 위해 SSL/TLS 암호화를 지원합니다.
postgresql.conf에서 다음과 같이 SSL을 활성화할 수 있습니다.

ssl = on
ssl_cert_file = '/etc/postgresql/server.crt'
ssl_key_file = '/etc/postgresql/server.key'

✅ SSL을 활성화하고 인증서(server.crt) 및 개인 키(server.key) 지정

---

3.2.5 PostgreSQL 로그 및 감사(Auditing) 설정

PostgreSQL에서는 보안 모니터링 및 감사 로그(Audit Log) 를 설정하여 비정상적인 접근을 감지할 수 있습니다.

🔹 PostgreSQL 로그 활성화 (postgresql.conf)

logging_collector = on
log_directory = 'pg_log'
log_filename = 'postgresql-%Y-%m-%d.log'
log_statement = 'all'

✅ 모든 SQL 쿼리를 기록 (log_statement = 'all')

🔹 확장 모듈 pgAudit 사용 (고급 감사 로깅)

PostgreSQL의 pgAudit 확장 모듈을 사용하면 더 정밀한 보안 로그를 남길 수 있습니다.

CREATE EXTENSION pgaudit;
ALTER SYSTEM SET pgaudit.log = 'all';

✅ pgAudit를 활성화하여 모든 SQL 활동을 로깅

---

3.2.6 PostgreSQL 보안 체크리스트

운영 환경에서 PostgreSQL을 안전하게 유지하기 위해 보안 체크리스트를 활용하세요.

✅ 최신 PostgreSQL 버전 사용 (SELECT version(); 로 확인)
✅ scram-sha-256 또는 SSL 인증 방식 사용 (pg_hba.conf 설정 확인)
✅ 기본 postgres 사용자 비밀번호 변경
✅ pgAudit를 활성화하여 감사 로그 기록
✅ 불필요한 접근 차단 (pg_hba.conf에서 접근 IP 제한)
✅ 정기적인 백업 및 보안 업데이트 수행

---

3.2.7 결론: PostgreSQL 보안 최적화 전략

✅ 사용자(Role) 관리를 통해 최소 권한 원칙 적용
✅ 강력한 인증 방식(scram-sha-256, SSL/TLS) 을 활용하여 보안 강화
✅ 데이터 암호화 및 네트워크 보안 설정 필수
✅ 로그 및 감사(Auditing) 기능을 활용하여 이상 징후 감지
✅ 보안 업데이트 및 패치 적용을 정기적으로 수행

이제 PostgreSQL의 보안 및 접근 제어에 대한 기본 개념을 익혔습니다!
다음 글에서는 PostgreSQL 성능 최적화 및 모니터링을 다루겠습니다. 🚀

---

🔎 다음 글 예고: PostgreSQL 성능 최적화 및 모니터링

📌 다음 편: 3.3 PostgreSQL 성능 최적화 및 모니터링

---

이제 PostgreSQL의 보안 및 접근 제어에 대한 글이 완성되었습니다!
다음 글에서는 PostgreSQL 성능 최적화 및 모니터링을 다루겠습니다. 🚀😊