SAP, HANA 최신 버전 발표와 거의 동시에 취약점도

SAP, HANA 최신 버전 발표와 거의 동시에 취약점도

새로운 시스템이 출시에 늘 동반되고 있는 취약점 발견

SAP 소식이 지난주 내내 끊이지 않았다. 기존의 빅데이터 활용능력이 한층 업그레이드되는 SAP HANA의 새로운 버전이 나왔다는 소식이 전해지는가 싶더니 바로 심각한 취약점이 발견됐다는 뉴스가 나온 것. 사실 SAP 뿐만 아니라 이처럼 새로운 시스템이 출시되면 보안문제를 제기하고 취약점을 잡아내는 것이 업계에서는 거의 통과의례가 되어가고 있다. 게다가 그 기간이 점점 단축되어 가고 있는 추세다.

해당 취약점은 공격자가 SQL 인젝션, 디렉터리 접근공격, XXE 공격 등을 사용하여 원격으로 코드를 실행시킬 수 있으며, 결국 공격자는 사용자들의 암호화되어 있는 데이터 저장 공간까지 접속이 가능해지는 것으로 전해졌다. 이는 ERP스캔사에 의해 밝혀졌다.

외신에 보도된 해외 전문가들에 따르면 SAP HANA를 사용하고 있는 관리자들은 1) rsecssfx 툴을 사용하여 SSFS 마스터 키 변경 2) hdbnsutil 툴을 사용하여 데이터 암호화 루트 키 변경 3) hdbnsutil 툴을 사용하여 데이터 암호화 서비스 루트 키 변경 4) 키 파일 접속 제한 5) DAT 파일 접속 제한을 하는 것이 현재로서는 가장 안전한 방법이다.

 

한편 아직까지 SAP측은 해당 취약점에 대한 패치를 발표하지 않은 상황인 것으로 파악됐다.

[국제부 주소형 기자(sochu@boannews.com)]

입력날짜 : 2015-06-22 11:23