본문 바로가기
SAP/SAP일반자료

안전한 ERP 운영 위해선 보안설계와 주기적 패치 필수

by Jinny815 2015. 7. 20.

안전한 ERP 운영 위해선 보안설계와 주기적 패치 필수


단계별·용도별 전문솔루션 활용한 보안 강화 필요


[보안뉴스 김태형] 최근 SAP사의 ERP 시스템에서 취약점이 잇달아 드러나고, 사고가 발생한 바 있어 ERP 시스템 사용자들의 보안 강화가 요구되고 있다. 특히, 취약점에 대한 패치 및 고객들의 사용 환경에 따른 적절한 보안조치가 필요하다.

 

 

지난 3월 초 컨설팅 업체인 오냅시스(Onapsis)사의 ERP(전사적 자원관리) 보안 연구원들이 SAP Business Object와 SAP HANA에서 새로운 5가지 취약점을 발견했다. 이 가운데 3가지는 상당히 위험도가 높은 편이다. 그 중 한 개는 필수적인 시스템에서 해커들이 오버라이트 실행이 가능했던 것으로 파악됐다. SAP는 바로 취약점 패치를 진행했다.


그리고 두달 여가 지난 5월 중순에는 ERP 시스템 안에 있는 기밀정보가 SAP의 취약점을 통해 유출됐다는 정황이 밝혀졌다. 유출된 정보는 미국 연방공무원의 신원조회에 사용되는 1급 기밀문서였던 것으로 파악됐다.


이 사건은 지난 2013년 미국 연방정부의 신원조회를 담당하고 있는 USIS(US Investigations Services)사가 공격을 받아 정보가 유출됐고, 지난해 이 사실이 대중에게 알려졌다. 그리고 최근 그 원인이 SAP의 취약점 때문이었다는 게 밝혀진 것이다.


그런데 이 사건으로부터 불과 수주 후 또 다른 큰 규모의 정보유출 사고가 벌어졌다. 사고는 미국 인사관리처로 피해자 규모는 미 의원, FBI 요원, 최초 파악된 것만 국가공무원 4백만명이었는데, 이 숫자는 어느새 1,800만명으로 불었다.


이에 대해  고려대학교 정보보호대학원 이동훈 원장은 “이 사건은 알려진 것처럼 2013년 USIS 시스템의 서드파티(3rd Party)로 연동된 SAP ERP 취약점에 대한 공격으로 발생했다”면서 “향후 美 정부기관 대상 사이버공격의 기반이 될 수 있다”고 말했다.


특히 이번 사건에서 주목할만한 것은 약 2년의 공격기간 동안 2~30개의 새로운 취약점에 대한 패치 등이 적용되지 않은 것으로 알려져 보안 패치의 중요성이 다시 한번 강조됐다.


최근 ICT에 대한 의존도가 급속도로 증가하면서 보안 위협도 더욱 정교하게 진화하고 있는 추세다. 점점 더 의도적이고 파괴적인 목표 중심의 공격을 수행한다. 이러한 환경에서 SAP ERP도 안전하지 않았음이 증명된 셈이다. 


이와 관련 이동훈 원장은 “시큐리티 바이 디자인(Secure by Design), 즉 시스템의 설계단계부터 보안을 고려해 설계해야 한다. 현재 완벽한 프로그램이란 것은 없다. 과거에 SAP는 3천개의 패치를 내려보냈다. 지난해까지 SAP는 한달에 30개의 패치를 진행했지만, 고객이 이를 적용한 시점은 패치 발표 시점과 18개월의 차이가 있다”고 말했다.


또한 그는 “이는 고객 대부분이 보안 감사 부분을 비활성화로 해놓기 때문이다. 대부분의 고객들은 ERP 시스템이 안전하다고 생각한다. 물론 ERP 자체는 안전하다. 하지만 고객별로 커스터마이징되면서 보안의 홀이 생기기 마련이다. 그래서 추가적인 보안이 필요하지만 보안에는 크게 신경을 쓰지 않기 때문에 사고가 발생한다”고 말했다.


이를 위해서는 정보보안 패러다임에 대한 인식 전환이 필요하다는 것. 보안은 지속가능한 성장에 필요한 핵심적인 투자요소로 생각해야 한다. 즉, 보안 투자는 이윤창출을 못하는 비용이라는 인식에서 벗어나 지속가능 성장을 위한 핵심적인 투자이며 새로운 가치를 창출할 수 있는 요소라는 인식의 전환이 필요하다는 얘기다. 


이에 대해 SAP코리아 이병철 부장은 “SAP ERP 시스템을 사용하고 있는 한국수력원자력의 경우에도 권한체계 및 관리 프로세스 표준화·자동화를 통한 안전한 권한관리 체계 정착을 위해 SAP의 ERP 보안 시스템을 별도로 도입해 운영하고 있다”면서 “통합보안체계를 제대로 구축하기 위해서는 어느 하나의 단일 솔루션만으로는 대응할 수 없다. 단계별로 다양한 솔루션의 조합과 함께 용도별 전문 솔루션으로 대응해야 한다”고 강조했다.



[김태형 기자(boan@boannews.com)]

http://www.boannews.com/media/view.asp?idx=47073