보안 잘못된 설정(security misconfiguration) — 안전하지 않은 설정, 기본값, 구성 — 은 가장 흔한 보안 약점 중 하나입니다(OWASP Top 10 위험). 노출된 기본값, 불필요한 기능, 장황한 오류, 누락된 하드닝을 포함합니다. 이를 피하려면 안전하고 신중한 설정이 필요합니다.
흔한 잘못된 설정
✗ 변경되지 않은 INSECURE DEFAULTS → 기본 password, 기본 계정, 샘플 콘텐츠
✗ 불필요한 FEATURES/서비스/포트 활성화 → 더 큰 공격 표면
✗ 프로덕션의 VERBOSE ERRORS → 공격자에게 내부 세부정보를 유출하는 스택 트레이스
✗ 누락된 SECURITY HEADERS; 잘못 설정된 CORS(전체 허용); 디렉터리 목록 활성화
✗ 노출된 admin/관리 인터페이스 또는 디버그 엔드포인트가 공개
✗ 클라우드 잘못된 설정 → 공개 storage bucket, 열린 데이터베이스, 과도한 접근
✗ 오래된 소프트웨어 / 패치되지 않은 시스템; 지나치게 관대한 파일/접근 권한
피하는 방법
✓ SECURE DEFAULTS & HARDENING → 기본값 변경; 불필요한 것 비활성화/제거;
하드닝 가이드 준수(최소 기능)
✓ 프로덕션에서 상세한 ERRORS를 노출하지 마라(일반 메시지; 내부적으로 세부 로깅)
✓ 설정을 CODE로(IaC) → 일관되고 검토 가능하며 반복 가능한 설정
✓ 환경별로 설정 분리; 프로덕션에 디버그/개발 설정 금지
✓ 정기적 CONFIGURATION REVIEWS / 스캔(자동화된 설정/태세 점검)
✓ 소프트웨어를 PATCHED 상태로; 설정과 권한에 least privilege 적용
