보안 그리고 설정관리 (Configuration Management)

조직에 필요한 적절한 보안장비를 도입했다고 해도 적절한 설정을 유지하지 못하면 아무런 소용이 없다.

예를 들어 이파트 현관문에 비밀번호를 입력하면 열리는 잠금장치를 설치 해놓고, 1111 과 같은 비밀번호를 설정한다면 아무리 훌륭한 잠금장치라고 해도 집을 안전하게 지키는 목적을 달성하긴 어려울 것이다.

그리고, 운영되는 모든 어플리케이션이나 시스템 역시나 보안을 고려한 설정을 하지 않으면, 댐에 작은 균열이 생겨서 댐이 무너질 수 있는 것처럼 이후에 큰 보안 이슈를 만들 수 있다.

SE(Software Engineering)관점에서는 Configuration Management를 형상관리로 해석을 하지만, 여기에서는 설정관리로 표현하는 것이 보다 적절하다는 것이 개인적인 생각이다. 물론 적절한 가이드를 따르는 안전한 설정을 지속적으로 유지하는 것은 당연히 매우 중요하며, 이 때에는 변경에 대한 관리 등 형상관리 관점의 관리가 매우 중요하겠다.

설정에 대해서 아래와 같은 문서들을 참고할 수 있어서 정리를 해본다.

* NIST의 Common Configuration Enumeration

- 기존에 MITRE(마이터 라고 읽는다)에서 시작한 프로젝트(http://cce.mitre.org/)인데 현재는 NIST에서 주관하고 있다. 

- http://nvd.nist.gov/cce/index.cfm

* NSA의 Security Configuration Guides

NSA(National Security Agency)에서는 Guide to the Secure Configuration of Red Hat Enterprise Linux 5(http://www.nsa.gov/ia/_files/os/redhat/rhel5-guide-i731.pdf) 등과 같이 실제 사례들을 잘 정리해주고 있는데, 아래의 경로에서 찾을 수가 있다

- http://www.nsa.gov/ia/mitigation_guidance/security_configuration_guides/