STIG-08 · 경험

Windows, Linux, 네트워크 시스템을 DoD STIG 기준으로 하드닝합니다

저는 시스템을 '아마 괜찮겠지' 수준에서 '검증된 준수' 수준으로 끌어올립니다. Windows, RHEL, 네트워크 장비 전반에 DISA Security Technical Implementation Guide를 적용하고, 설정이 실제로 반영되었는지 SCAP 스캔으로 확인하며, 각 통제 항목을 그 근거와 연결해 주는 증적을 남깁니다. 추측도, 형식적인 체크리스트 놀음도 없이, 감사에서 떳떳하게 방어할 수 있는 하드닝된 시스템만 남습니다.

연락 시작하기 전체 경험 보기

01 · 제가 하는 일

실제 업무

Windows Server와 데스크톱, RHEL을 비롯한 Linux, 그리고 Cisco 라우터·스위치·방화벽 같은 네트워크 장비에 DISA STIG를 적용합니다
SCC 도구로 SCAP 스캔을 실행하고 STIG Viewer에서 결과를 검토해, 각 통제 항목이 가정이 아니라 실제로 적용되었는지 확인합니다
발견 사항을 통과·실패·해당 없음으로 분류하고, 모든 예외와 미결 항목에 대해 문서화된 근거를 작성합니다
STIG 통제 항목을 NIST 800-53에 매핑해, 작업이 귀사의 인가 및 RMF 요건과 맞물리도록 합니다
운영 환경에 손대기 전에 롤백을 포함한 문서화된 변경 계획을 작성하고, 정해진 작업 시간 안에서 통제 항목을 적용합니다
통제 항목별로 준수 증적을 확보합니다. 스캔 결과, 스크린샷, 그리고 특정 finding ID에 연결된 설정 코드 조각까지 포함합니다
조치 후 재스캔하여 편차가 해소되었고 해당 시스템이 벤치마크를 충족하는지 입증합니다

02 · 얻으시는 것

최종적으로 남는 결과물

적절한 STIG 벤치마크에 대해 SCAP 스캔을 통과하는 시스템. 얼버무린 부분 통과가 아닙니다
모든 해당 없음 또는 미결 항목에 감사관이 납득할 만한 사유가 문서로 기록된 예외 목록
finding ID에 연결되어 정리된 통제 항목별 증적으로, 평가자나 ISSO에게 바로 전달할 수 있습니다
무엇이 실패하고 있었는지, 제가 무엇을 바꿨는지, 그리고 이제 준수 상태임을 입증하는 증거까지 담은 명확한 전후 비교
NIST 800-53에 매핑된 STIG 설정으로, 작업 결과가 귀사의 인가 패키지에 그대로 들어맞습니다

03 · 도구와 지식

이 분야에서 다루는 것들

DISA STIG (Windows, RHEL, Cisco IOS/NX-OS, ASA, 애플리케이션 STIG)
SCAP 및 SCAP Compliance Checker (SCC)
DISA STIG Viewer 및 STIG 벤치마크 콘텐츠
NIST 800-53 통제 매핑 및 RMF 맥락
Windows 적용을 위한 GPO 및 보안 기준선
Linux 및 네트워크 장비용 하드닝 스크립트와 설정 템플릿
실제 공격자 행위를 기준으로 통제 우선순위를 정하기 위한 MITRE ATT&CK

04 · 제 접근 방식

계획하고, 범위를 정하고, 끝까지 책임집니다

모든 작업은 30분 범위 산정 통화와 당일 작성해 드리는 적합성 평가서로 시작합니다. 그래야 작업을 시작하기 전에 범위와 목표 벤치마크, 그리고 대상 시스템을 양쪽 모두가 분명히 알 수 있습니다. 그다음에는 시스템마다 롤백을 포함한 문서화된 변경 계획을 마련합니다. STIG 설정은 무턱대고 적용하면 시스템을 망가뜨릴 수 있기 때문입니다. 정해진 작업 시간 안에서 통제 항목을 적용하고, SCAP 스캔과 사전에 합의한 게이트로 검증하며, 어떤 통제가 운영 환경에서 문제를 일으키면 롤백은 제가 책임지고 수행합니다. 통과·실패·해당 없음으로 표시되는 모든 통제 항목은 증적과 함께 기록되므로, 최종 상태는 누군가 한 번 '하드닝'하고 잊어버린 시스템이 아니라 감사에서 떳떳하게 내세울 수 있는 결과가 됩니다.

자격과 표준저는 CompTIA Security+를 보유하고 있으며, 이 작업이 요구하는 공인 표준인 DoD STIG, NIST 800-53, SCAP을 그대로 따라 일합니다. Cisco CCNA로 네트워크 영역까지 다루기 때문에 Windows와 Linux 엔드포인트뿐 아니라 라우터·스위치·방화벽 STIG도 작업 범위에 들어가며, MITRE ATT&CK을 활용해 실제 공격자 기법을 무력화하는 통제에 하드닝의 초점을 맞춥니다.

05 · 질문

좋은 질문에 대한 솔직한 답변

어떤 STIG와 플랫폼을 다루시나요?

Windows Server와 데스크톱, RHEL을 비롯한 일반적인 Linux, 그리고 IOS, NX-OS, ASA를 포함한 Cisco 네트워크 장비입니다. 해당 시스템에 대해 공개된 DISA STIG가 있다면 적용하고 검증할 수 있습니다. 애플리케이션 및 데이터베이스 STIG도 가능하니, 어떤 스택인지 먼저 알려만 주세요.

하드닝이 제 시스템을 망가뜨리지는 않나요?

일부 STIG 설정은 그럴 수 있고, 그래서 무턱대고 적용하지 않는 것입니다. 롤백을 포함한 문서화된 변경 계획을 세우고, 정해진 작업 시간 안에서 적용하며, 게이트로 검증합니다. 어떤 통제가 실제로 문제를 일으키면 롤백한 뒤, 그 사유를 적어 예외로 문서화합니다.

감사나 인가에 활용할 수 있는 증적을 남겨 주시나요?

네, 바로 그게 핵심입니다. SCAP 스캔 결과, finding ID에 연결된 통제 항목별 증적, 그리고 사유가 명시된 예외 목록을 받으시고, STIG 통제 항목이 NIST 800-53에 매핑되어 있어 RMF 패키지에 그대로 들어갑니다.

06 · 관련 경험

함께 다루는 인접 분야 업무

이 일을 맡길 곳이 필요하신가요?

무엇을 옮기려 하시는지, 어디서 막혀 있는지 알려주세요. 몇 문장이면 시작하기에 충분하며, 제 받은편지함으로 바로 전달됩니다.

연락 시작하기