기업 내ㆍ외부 보안이 모두 필요한 시점 SAP는 이제 더 이상 내부 프로세스 통합만을 의미하지 않는다. 기업 내ㆍ외부의 프로세스 통합의 변화는 여러 가지 의미를 가지고 있으며 그 중 보안과 관련된 문제는 해결해야 할 가장 큰 이슈가 되었다. 물론 내부 보안도 외부 보안 못지 않게 중요하다. 하지만 이제는 내부 보안과 외부 보안이 모두 필요한 시점이 된 것이다.

ERP(Enterprise Resource Planning)는 전사적 자원 관리 시스템으로 이익의 극대화, 고객 만족과 같은 기업의 궁극적 목적을 달성하기 위한 목적으로 기업의 비즈니스 업무를 위해 운영되고 있으며 제조자원, 인력자원, 운송자원과 같은 일련의 업무 활동을 한정된 자원을 이용하여 효율적인 관리 운영을 수행할 수 있도록 도와주는 애플리케이션의 집합이라 할 수 있다.
이는 궁극적으로 기업의 경쟁력을 강화시켜주는 역할을 하는 통합정보시스템이라 할 수 있다. 기업들은 저비용 고효율의 내실 경영 기반을 확고히 하기 위한 전면적인 체질 강화를 추진하기 위해 PI(Process In novation)라는 대형 프로젝트를 추진하게 되었고 이를 통해 고객지향의 프로세스, 시스템, 조직을 구축하기 위한 주요 수단으로 ERP를 도입하고 있다.

ERP의 변화
이와 같이 기업의 비즈니스 프로세스의 효율성을 위해서 도입하는 ERP는 해를 거듭할수록 변화하고 있다.
가트너는 ERP의 시장 변화에 따른 ERP의 비전으로 ERP II라는 개념을 제시하고 있으며 관련 ERP 공급 업체인 SAP, Oracle, PeopleSoft 등의 기업들도 시장의 요구에 대응하기 위해 변화에 빠르게 적응하고 있다.
ERP 시스템은 기업의 내부 시스템으로서 기업의 내부에서만 사용되는 안전한 시스템이라는 인식이 팽배한 것이 사실이다. 하지만 이제 ERP는 기업 내부의 프로세스와 기업 외부의 프로세스와 관련된 각종 기업 애플리케이션들과도 상호 유기적으로 통합하기 위해 변화하고 있고 이미 변화되었다. 그동안 구축되어 왔던 ERP 애플리케이션은 개별 기능으로서는 더 이상 효율성을 기대할 수 없는 기업 환경의 변화가 조성됨에 따라 ERP의 변신과 전사적인 통합시스템 구축을 본격 모색하게 되었다.
SAP는 단순히 ERP를 넘어선 통합 플랫폼을 제공하기 위해 CRM, SCM, SRM 들과 같은 확장 패키지를 ERP 시스템과 연계 통합하고 있다. SAP NetWeaver Composite Application 플랫폼에서 Web Dynpro for ABAP과 Web Dynpro for Java를 지원하는 것은 앞으로 웹 환경에서 자바와 ABAP을 채택한다는 것이다.
사용자에게 편리한 GUI를 제공하기 위한 목적으로 BSP나 자바를 통해서 개발되고 있는 상황이다. 현재 기업들의 엔터프라이즈 시스템 구축에서 가장 큰 이슈 중의 하나는 ERP를 중심으로 기업 내부 비즈니스 프로세스의 효율성 증대뿐만 아니라 기업간의 관계, 기업과 고객간의 관계를 내부 핵심 역량과 통합해야 하는 기업 내ㆍ외부 비즈니스 프로세스의 통합이 요구되고 있다는 것이다.

보안의 필요성 인식
SAP는 ERP 소프트웨어 패키지로서 회계, 자산, 비용, 생산, 인력, 자재 등을 관리하는 기능을 제공하는 통합 프레임워크이다. SAP를 ABAP(Advanced Business Application Programming) 이라고 하는 독자적인 언어를 간단하면서도 강력한 프로그램 언어로 개발되었다. SAP는 또한 SAP 프레임워크 내에서 개발자가 기존의 함수를 수정하기 위해 SAP 코드를 수정하거나 독자적인 함수를 개발할 때 완벽한 개발 환경을 제공하고 있다.
SAP는 이제 더 이상 내부 프로세스 통합만을 의미하지 않는다. 기업 내ㆍ외부 프로세스 통합의 변화는 여러 가지 의미를 가지고 있으며 그 중 보안과 관련한 문제는 해결해야 할 가장 큰 이슈가 되었다. 물론 내부 보안도 외부 보안 못지 않게 중요하다. 하지만 이제는 내부 보안과 외부 보안이 모두 필요한 시점이 된 것이다.
한 예로 이제는 Apple의 App store에서 SAP 솔루션이 제공되고 있다. 이것은 이제는 더 이상 SAP 시스템이 파워 유저만이 사용하는 시스템이 아니라는 것이며 이제는 대중적인 사용자를 위하여 사용되는 시스템이 되었다는 것을 의미한다. 또한 이것은 더 이상 SAP ERP 시스템이 내부 시스템이 아니라는 것이다. 오히려 이제는 외부 시스템이 되었다는 것을 의미한다. 기존의 SAP ERP 시스템이 단순 인터페이스를 통한 웹의 연결이었다면 ERP II는 웹 기반의 핵심 ERP와 확장 ERP 시스템의 컴포넌트 집합으로 이 기종간의 통합성도 강조하는 구조이다.
ERP는 기업 내부에서 데이터를 생성하고 사용하지만 ERP II는 권한에 따라 Value 체인상의 모든 파트너에게 해당 정보를 개별적으로 제공하는 개념이자 비전이다. 그래서 SAP ERP도 이제는 개방형 아키텍처를 채택하고 있다. 이로써 SAP ERP 시스템의 안전한 운영은 ERP 운영의 관리 책임자들에게 커다란 숙제가 된 것이다.

SAP 보안의 방향
과거 SAP ERP 시스템이 내부 시스템으로만 인식되었던 때는 보안에 대해서 심각하게 고려하지 않은 것이 사실이다. 그래서 SAP의 ABAP 애플리케이션 보안에 대한 인식 부족으로 제한적이고 한시적 보안 취약점 점검을 수행하고 ‘개발 코딩가이드’와 개발자의 경험과 지식에 의존하는 비전문화된 보안이 이루어진 것이 사실이다. 하지만 이제는 SAP 애플리케이션에 대한 보안 인식이 높아졌고 과거와 다르게 보안의 필요성이 크게 부각되고 있다.
이제 SAP의 ABAP 애플리케이션 보안의 방향은 포괄적이며 상시적으로 취약점을 분석할 수 있어야 하고 자동화된 전문 보안 취약점 분석 시스템을 사용하여 전문화된 보안 방안을 구현해야 할 것이다. 가장 이상적인 보안 방향으로는 ABAP 애플리케이션 개발 과정인 SDLC상에서 ABAP 코드에 대한 소스코드 보안 취약점을 분석하는 것이라고 할 수 있다.

SAP 애플리케이션 보안의 필요성
SAP ERP 시스템 구축 프로젝트는 사실상 ABAP 애플리케이션 개발이 커다란 비중을 차지하고 있으며 많게는 전체 ERP 애플리케이션의 60~70%를 개발하고 있는 상황이다. 그 이유는 사용자의 요구 충족이 기존의 ERP 패키지만으로는 모두 충족할 수 없기 때문이다. 하지만 ERP가 과거 내부 시스템이었다는 이유로 개발 과정에서 보안성과 관련한 보안 취약점 분석이나 보안 품질에 대한 평가와 같은 애플리케이션 보안 검토 프로세스가 매우 미약했다.
이제는 SAP ERP 시스템도 관리적 차원에서 보안 품질 관리 및 통제와 ‘개발자 보안 가이드’가 필요하며 기술적 보안 관점에서 ABAP 애플리케이션의 소스코드 보안 취약점 분석, 보안 침투 테스트를 수행하여 SAP ERP 애플리케이션의 보안 취약점을 관리해야 한다. BSP, Web Dynpro, ABAP 애플리케이션의 취약점 관리 및 통제는 보안 침해 사고로 인한 비즈니스 손해를 최소화하고 안전한 SAP 시스템 구현과 컴플라이언스 및 Best Practice 구축을 통한 보안 Baseline 구축을 가능하게 한다.
안전한 SAP 시스템을 구축하기 위해서는 BSP, Web Dynpro, ABAP 애플리케이션의 소스코드 보안취약점을 근본적으로 해결해야 할 필요가 있다. 이것은 SDLC 단계에서 보안성 검토 프로세스를 확립해야 가능한 것으로 코딩단계 및 QA 단계에서 소스코드 보안 취약점 분석이 이루어져야 하며 이러한 보안 프로세스는 상시 보안체계로 구축되어야 한다. SAP ERP 시스템은 비즈니스 요구에 의해 일반 사용자와 최종 사용자에게도 서비스를 제공하는 오픈 시스템으로 변화하고 있다고 했다.
이러한 변화는 IT 전반에 걸쳐 더욱 심화될 것이다. 더욱이 비즈니스 요구에 의해 개발되는 ABAP custom 애플리케이션의 경우 보안 점검을 수행하지 않으면 어떤 위험이 존재할지, 그 위험으로 어떤 피해가 발생할지 모르기 때문에 반드시 보안 점검을 수행해야 한다. 과거 대다수의 개발 프로젝트는 개발자의 경험과 지식에 의존해 왔다.
하지만 보안성은 전문화된 검증 절차 없이는 보안성을 확보할 수 없는 것이 현실이며 보안 점검은 상시적으로 언제든 필요할 때 이루어질 수 있어야 한다. 개발이 완료된 BSP, Web Dynpro, ABAP 애플리케이션 또한 비즈니스 요구에 의해 지속적으로 변경되므로 상시 자동화 된 보안 점검 체계를 구축해야 한다.
외주에 의해서 개발된 코드 또한 보안상의 안전을 위해서 소스코드 보안 취약점 분석이 반드시 필요하다. 이제는 애플리케이션의 보안성과 컴플라이언스는 애플리케이션의 품질을 좌우하는 매우 중요한 성공 요소가 되었다.
BSP, Web Dynpro, ABAP 애플리케이션의 보안, 위험관리, 규제준수, 감사와 같은 이슈가 SAP를 사용하고 있는 모든 기업에게 중요한 과제가 되고 있으며 사용자 개발 애플리케이션에 더욱더 투명하고 자동화된 보안 솔루션을 제공함으로써 고객들의 핵심적인 비즈니스 요구사항에 신속하게 대응할 수 있도록 해야 하다. 보안은 테크놀로지 이슈에서 비즈니스 이슈로 진화하면서 모든 업종의 모든 기업에서 그 중요성이 강조되고 있다.
<글 : 오세관 인터비젠테크놀로지 대표이사(oh.sk@interbizen.com)>

[월간 정보보호21c 통권 제119호(info@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>