По моему мнению, если это параметры конфигурации, которые нужно будет изменить в тот или иной момент, или настроить изначально, я думаю, это должен быть ошеломляющий выбор app.config.
Но если есть какие-то закулисные постоянные данные, на которые опирается приложение, и никто (системные администраторы, конечные пользователи) никогда не будет их трогать, то это может пойти в любую сторону.
И если есть какие-то закулисные постоянные данные, которые никогда не меняются, и вы хотите усложнить настройку, добавьте их в реестр.
Вы можете установить разрешения для обоих, будь то разрешения реестра для разрешений NTFS. Так что безопасность не должна быть решающим фактором. Я бы сказал, как бы близко вы не хотели, чтобы данные конфигурации были для пользователей.
Кроме того, с app.config работать намного проще, учитывая пространство имен System.Configuration.