CCE(Common Configuration Enumeration)

CCE(Common Configuration Enumeration)는 시스템의 보안 설정과 관련된 취약점을 식별하고 관리하기 위한 표준화된 명명 체계이다.
시스템 구성 문제에 고유 ID를 제공하여 여러 정보 소스와 도구 간에 구성 데이터를 빠르고 정확하게 상관시키는 것을 목적으로 한다.
이를 통해 시스템의 보안 설정을 일관되게 관리하고 평가할 수 있다.

주요 특징

  1. 표준화된 식별: 각 보안 설정에 고유한 CCE ID를 부여한다.
  2. 설정 중심: 시스템의 구성 설정에 초점을 맞춘다.
  3. 다양한 플랫폼 지원: 서버, 네트워크 장치, 방화벽 등 다양한 IT 인프라에 적용 가능하다.

CCE의 중요성

  1. 일관성 유지: 여러 도구와 플랫폼에서 동일한 보안 설정을 일관되게 식별할 수 있다.
  2. 자동화 지원: 자동화된 보안 도구에서 CCE를 활용하여 효율적인 취약점 관리가 가능하다.
  3. 규정 준수: 다양한 보안 표준과 규정 준수를 위한 기준으로 활용된다.

CCE의 구조와 형식

CCE 식별자는 ‘CCE-XXXX-X’ 형식을 따르며, 각 식별자는 특정 보안 구성 설정을 고유하게 식별한다.
예를 들어, ‘CCE-27277-8’은 Windows 시스템에서 최소 암호 길이 설정을 나타낸다.

예시 1: Windows 보안 설정

1
2
3
4
5
6
7


CCE 문서 제목: Windows 계정 보안 구성 가이드  
CCE 참조: CCE-27277-8  
설정 항목: 최소 암호 길이  
권장 값: 14자 이상  
구성 경로: Windows Security Settings > Account Policies > Password Policy  
설명: 사용자 계정의 암호는 최소 14자 이상으로 설정해야 하며, 이는 무차별 대입 공격에 대한 저항력을 높입니다.

예시 2: Linux 보안 설정

1
2
3
4
5
6

CCE 문서 제목: Linux 파일 시스템 권한 구성 가이드  
CCE 참조: CCE-14011-1  
설정 항목: /etc/shadow 파일 권한  
권장 값: 0400  
구성 방법: chmod 0400 /etc/shadow  
설명: 암호 해시가 포함된 shadow 파일에 대한 접근을 root 사용자로 제한하여 무단 접근을 방지합니다.

CCE의 주요 구성 요소

  1. 기술적 메커니즘
    구성 설정을 변경하거나 확인하는 데 사용되는 기술적 방법을 명시한다.
    예시: 레지스트리 설정

    1
2
3
4
5
6

    설정 유형: Windows 레지스트리  
키 경로: HKLM\Software\Policies\Microsoft\Windows\System  
값 이름: DisableCMD  
데이터 유형: REG_DWORD  
권장 값: 1  
목적: 명령 프롬프트 사용 제한

  2. 운영체제/플랫폼 정보
    해당 구성이 적용되는 운영체제나 플랫폼을 명시한다.
    예시: 플랫폼 호환성 정보

    1
2
3
4

    대상 시스템: Windows Server 2019  
서비스 팩: 모든 서비스 팩  
적용 범위: 도메인 컨트롤러, 멤버 서버  
요구사항: Active Directory 도메인 서비스 실행

  3. 검증 기준
    구성이 올바르게 적용되었는지 확인하는 방법을 제공한다.
    예시: 감사 점검 절차

    1
2
3
4
5
6
7

    점검 항목: 암호 정책 설정  
검증 도구: Security Configuration and Analysis  
검증 단계
 1. 보안 정책 분석 도구 실행
 2. 현재 구성 분석 수행
 3. 권장 값과 비교 검토
 4. 편차 기록 및 보고

CCE의 활용 분야

  1. 보안 정책 관리 문서

    • 예시: 보안 정책 템플릿
      정책명: 기업 워크스테이션 보안 기준
      적용 범위: 전사 업무용 PC
      CCE 참조 항목:
      - 암호 정책 (CCE-27277-8)
      - 화면 보호기 설정 (CCE-23404-4)
      - USB 저장장치 제어 (CCE-18187-1)

  2. 컴플라이언스 관리

    • 예시: 규정 준수 점검표
      규정명: PCI DSS 요구사항 8
      관련 CCE 항목:
      - 사용자 인증 설정 (CCE-14377-7)
      - 세션 타임아웃 (CCE-24406-8)
      - 로그인 시도 제한 (CCE-26923-8)

참고 및 출처