본문 바로가기

Work Log/As Cybersecurity Consultant

보안 그리고 설정관리 (Configuration Management)


조직에 필요한 적절한 보안장비를 도입했다고 해도 적절한 설정을 유지하지 못하면 아무런 소용이 없다.


예를 들어 이파트 현관문에 비밀번호를 입력하면 열리는 잠금장치를 설치 해놓고, 1111 과 같은 비밀번호를 설정한다면 아무리 훌륭한 잠금장치라고 해도 집을 안전하게 지키는 목적을 달성하긴 어려울 것이다.


그리고, 운영되는 모든 어플리케이션이나 시스템 역시나 보안을 고려한 설정을 하지 않으면, 댐에 작은 균열이 생겨서 댐이 무너질 수 있는 것처럼 이후에 큰 보안 이슈를 만들 수 있다.


SE(Software Engineering)관점에서는 Configuration Management를 형상관리로 해석을 하지만, 여기에서는 설정관리로 표현하는 것이 보다 적절하다는 것이 개인적인 생각이다. 물론 적절한 가이드를 따르는 안전한 설정을 지속적으로 유지하는 것은 당연히 매우 중요하며, 이 때에는 변경에 대한 관리 등 형상관리 관점의 관리가 매우 중요하겠다.


설정에 대해서 아래와 같은 문서들을 참고할 수 있어서 정리를 해본다.


* NIST의 Common Configuration Enumeration

- 기존에 MITRE(마이터 라고 읽는다)에서 시작한 프로젝트(http://cce.mitre.org/)인데 현재는 NIST에서 주관하고 있다. 

http://nvd.nist.gov/cce/index.cfm


* NSA의 Security Configuration Guides

NSA(National Security Agency)에서는 Guide to the Secure Configuration of Red Hat Enterprise Linux 5(http://www.nsa.gov/ia/_files/os/redhat/rhel5-guide-i731.pdf) 등과 같이 실제 사례들을 잘 정리해주고 있는데, 아래의 경로에서 찾을 수가 있다

- http://www.nsa.gov/ia/mitigation_guidance/security_configuration_guides/