📌 DCL (Data Control Language, 데이터 제어어)

*DCL (데이터 제어어)는 **데이터베이스의 보안, 사용자 관리, 권한 부여 및 회수 등을 담당하는 SQL 명령어입니다.

데이터의 무결성을 유지하고, 불법적인 접근을 방지하는 역할을 합니다.

✅ DCL의 주요 명령어

명령어	설명
`GRANT`	특정 사용자에게 권한 부여
`REVOKE`	특정 사용자의 권한 회수
`CREATE USER`	새로운 사용자 생성
`DROP USER`	기존 사용자 삭제
`SHOW GRANTS`	사용자의 현재 권한 확인

🔷 5-1. 사용자 생성 (CREATE USER)

✅ MariaDB에서 새로운 데이터베이스 사용자를 생성하는 방법

CREATE USER 'new_user'@'localhost' IDENTIFIED BY 'password123';

📌 new_user 사용자를 로컬(localhost)에서 접속 가능하도록 생성하고, 비밀번호를 password123으로 설정.

✅ 모든 IP에서 접속 가능하도록 사용자 생성

✅ 비밀번호 정책 강화

CREATE USER 'secure_user'@'localhost'
IDENTIFIED BY 'StrongP@ssw0rd!'
PASSWORD EXPIRE INTERVAL 90 DAY;

📌 비밀번호 만료 기간을 설정하여 보안 강화를 추천함.

CREATE USER 'remote_user'@'%' IDENTIFIED BY 'securePass!';

📌 %는 모든 IP에서 접속 가능하도록 허용하는 와일드카드.

📌 보안상 위험할 수 있으므로 신중하게 사용해야 함.

🔷 5-2. 사용자 권한 부여 (GRANT)

✅ 사용자에게 특정 권한을 부여하는 GRANT 문

GRANT SELECT, INSERT, UPDATE ON company_db.* TO 'new_user'@'localhost';

📌 사용자 new_user에게 company_db 데이터베이스의 모든 테이블에서 SELECT, INSERT, UPDATE 권한을 부여.

✅ 모든 권한을 부여 (관리자 계정)

GRANT ALL PRIVILEGES ON *.* TO 'admin_user'@'localhost' WITH GRANT OPTION;

📌 admin_user가 모든 데이터베이스와 테이블에서 모든 권한을 가짐 (ALL PRIVILEGES).

📌 WITH GRANT OPTION을 사용하면 이 사용자가 다른 사용자에게도 권한을 부여할 수 있음.

✅ 권한을 즉시 적용하기 위해 FLUSH PRIVILEGES 실행

FLUSH PRIVILEGES;

📌 MariaDB에서 권한 변경 사항을 즉시 반영하는 명령어.

🔷 5-3. 사용자 권한 회수 (REVOKE)

✅ 특정 권한만 회수하는 REVOKE 문

REVOKE INSERT, UPDATE ON company_db.* FROM 'new_user'@'localhost';

📌 사용자 new_user가 company_db 데이터베이스에서 INSERT, UPDATE 권한을 잃음.

📌 SELECT 권한은 유지됨.

✅ 모든 권한 제거

REVOKE ALL PRIVILEGES ON *.* FROM 'admin_user'@'localhost';

📌 사용자 admin_user의 모든 권한을 제거하지만, 계정은 삭제되지 않음.

✅ 변경 사항 즉시 적용

FLUSH PRIVILEGES;

📌 권한 변경 후 반드시 실행해야 적용됨.

🚨 3. `REVOKE` 권한 회수 주의점

✅ 문제점

REVOKE ALL PRIVILEGES를 사용해도 사용자 계정이 삭제되지 않으며, 접속 권한이 유지됨.
USAGE 권한이 기본적으로 남아 있기 때문에 완전히 제거하려면 DROP USER를 실행해야 함.

✅ 보강된 코드

REVOKE ALL PRIVILEGES, GRANT OPTION FROM 'admin_user'@'localhost';
DROP USER 'admin_user'@'localhost'; -- 계정 완전 삭제

📌 권한만 제거하는 것이 아니라, 계정까지 삭제하려면 DROP USER도 함께 실행해야 함.

✅ 특정 권한만 회수

REVOKE INSERT, UPDATE ON company_db.* FROM 'developer'@'localhost';

📌 개발자 계정의 INSERT, UPDATE 권한만 제거하고 SELECT 권한은 유지.

🔷 5-4. 사용자 삭제 (DROP USER)

✅ 사용자를 데이터베이스에서 삭제

DROP USER 'new_user'@'localhost';

📌 해당 사용자의 모든 권한과 계정이 완전히 삭제됨.

📌 사용자를 삭제하기 전에 관련 데이터베이스 연결이 없는지 확인하는 것이 좋음.

✅ 여러 사용자 삭제

DROP USER 'user1'@'localhost', 'user2'@'%';

📌 여러 사용자를 동시에 삭제할 수도 있음.

🚨 `DROP USER` 실행 시 주의점

✅ 문제점

DROP USER 실행 시, 해당 사용자가 현재 활성 세션을 유지하고 있으면 오류가 발생할 수 있음.
이 문제를 방지하기 위해 연결을 강제로 종료하는 방법을 추가 설명.

✅ 보강된 코드

DROP USER IF EXISTS 'old_user'@'localhost';

📌 사용자가 존재하지 않으면 오류를 방지하기 위해 IF EXISTS를 추가.

✅ 현재 연결된 사용자를 강제로 종료 후 삭제

SELECT id, user, host FROM information_schema.processlist WHERE user = 'old_user';

KILL 12345;  -- 해당 사용자의 프로세스 ID를 종료 (예: ID=12345)

DROP USER 'old_user'@'localhost';

📌 사용자가 접속 중이면 KILL 명령어를 사용하여 프로세스를 종료한 후 DROP USER 실행.

🔷 5-5. 사용자 권한 확인 (SHOW GRANTS)

✅ 사용자의 현재 권한을 확인하는 방법

SHOW GRANTS FOR 'new_user'@'localhost';

📌 현재 new_user가 가지고 있는 권한을 출력함.

✅ 현재 로그인한 사용자의 권한 확인

SHOW GRANTS;

📌 현재 접속한 계정의 권한을 확인하는 가장 빠른 방법.

✅ SHOW GRANTS의 예제 출력

GRANT SELECT, INSERT ON `company_db`.* TO 'developer'@'localhost'

📌 이 사용자는 company_db 데이터베이스의 모든 테이블에서 SELECT, INSERT 가능.

✅ 컬럼 단위의 권한 확인

GRANT SELECT (name, salary) ON company_db.employees TO 'manager'@'localhost';

📌 이 경우 manager 계정은 employees 테이블의 name, salary 컬럼만 조회 가능.

🔷 5-6. 특정 데이터베이스에 대한 권한 관리

✅ 특정 데이터베이스에 대한 권한만 부여

GRANT SELECT, INSERT ON company_db.* TO 'developer'@'localhost';

📌 developer가 company_db 데이터베이스에서 SELECT, INSERT만 가능하도록 제한.

✅ 특정 테이블에 대한 권한만 부여

GRANT SELECT ON company_db.employees TO 'intern'@'localhost';

📌 intern 계정은 employees 테이블에서 SELECT만 가능.

✅ 특정 컬럼에 대한 권한 부여

GRANT SELECT (name, salary) ON company_db.employees TO 'manager'@'localhost';

📌 manager 계정은 employees 테이블에서 name, salary 컬럼만 조회 가능.

🔷 5-7. 비밀번호 변경 및 보안 설정

✅ 사용자의 비밀번호 변경

ALTER USER 'new_user'@'localhost' IDENTIFIED BY 'NewSecurePass!';

📌 비밀번호를 변경하는 가장 안전한 방법.

✅ 비밀번호 만료 설정

ALTER USER 'new_user'@'localhost' PASSWORD EXPIRE;

📌 사용자가 다음 로그인 시 새로운 비밀번호를 설정해야 함.

✅ 비밀번호 만료 기간 설정

ALTER USER 'new_user'@'localhost' PASSWORD EXPIRE INTERVAL 90 DAY;

📌 비밀번호가 90일 후 만료되도록 설정.

✅ 비밀번호 복잡도 정책 설정

SET GLOBAL validate_password_length = 10;
SET GLOBAL validate_password_mixed_case_count = 2;
SET GLOBAL validate_password_number_count = 2;
SET GLOBAL validate_password_special_char_count = 2;

📌 비밀번호 정책을 설정하여 보안 강화 (validate_password 플러그인이 활성화된 경우).

📌 DCL 핵심 개념 요약

1️⃣ 사용자 관리 (CREATE USER, DROP USER)

2️⃣ 권한 부여 (GRANT)

3️⃣ 권한 회수 (REVOKE)

4️⃣ 사용자 권한 확인 (SHOW GRANTS)

5️⃣ 비밀번호 및 보안 설정 (ALTER USER)