Cover Story

잘 개발된 변경 관리 프로그램에 관한 다섯 가지 핵심 단계를 통해 보안의 역할을 고찰해보자.

1. 요청 및 승인

변경 관리 프로세스의 첫 번째 단계는 변경 요청, 즉 RFC(request for change)다. 대부분의 경우 이것은 변경 관리 애플리케이션 내부에 포함되며 변경 자문 위원회(CAB : change advisory board)의 고려 대상이 될 것이다. 일반적으로 이 위원회는 헬프데스크와 네트워크 운영, 서버 및 시스템 관리, 보안, 내부 감사, 데이터베이스 관리, 애플리케이션 개발의 대표자들로 구성된다. 그 외에도 법이나 운영, 관리부서의 대표자들이 포함될 수 있다.

CAB이 RFC가 속행되도록 허용하면 그것은 그 변경이 실행되어야만 하는지를 결정하기 위해 모든 이해 관계자들을 허용하는 일련의 승인을 진행해야만 한다. 정보보안팀이 승인 과정에 관계되어야만 하며 필요한 변경을 위해 단체에 대한 인지된 위험을 기반으로 승인 결정을 내려야만 한다. 이러한 변경 관리 프로세스의 초기 단계에는 승인 워크플로우 구성원들이 변경 요청자에게 질문하거나 다른 이해관계자들과 결과에 대해 의논할 수 있도록 빌트인 피드백 루프가  있어야만 한다. 보안은 반드시 다음의 조건을 충족시켜야만 한다.

● 사용자 계정 및 레포지토리, 신원 관리 시스템과 로그 파일을 체크함으로써 해당 요청이 변경을 요구할 수 있는 인증된 유효한 소스에서 비롯된 것인지 보증

● 요청한 사람, 변경을 확인하기 위해 변경 관리 시스템에 로그인한 사람, 승인에 관련된 사람, 변경에 대해 평가한 사람 등과 같은 변경 요청에 관한 감사 추적을 수립

IPS나 방화벽같이 그들의 시스템에 변경을 구현하는 보안팀이 RFC에 제공하는 중요한 정보는 실제적인 기술 변화, 영향 받는 시스템, 그리고 환경 내의, 또는 다른 시스템들에 대한 가능한 위험 등을 포함한다. 변경을 구현하지 않음으로써 비롯되는 잠재적인 위험 또한 기록되어야만 한다.

<글·데이브 섀클포드(Dave Shackleford)>

[정보보호21c (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>