베일에 쌓여있던 SAP 보안실태가 점점 드러나나?

2015-05-14 09:30
  • 카카오톡
  • 네이버 블로그
  • url
+ -

잠잠했다고 해서 절대 안전한 게 아니었던 SAP
[보안뉴스 주소형] 기업의 경영자원들을 효율적으로 사용할 수 있도록 돕는 소프트웨어인 SAP의 제품이 보안에 발목을 잡혔다. 사실 SAP를 비롯한 다른 전사적자원관리(ERP) 시스템이 공격에 활짝 열려있는 상황이라는 경고는 오랜 전부터 제기되어왔지만 이를 증명할 길이 없었다. 그런데 금주에 비로소 드러났다. ERP 시스템 안에 있는 기밀정보가 SAP의 취약점을 통해 유출됐다는 정황이 밝혀진 것이다. 유출된 정보는 연방공무원의 신원조회에 사용되는 1급 기밀문서였던 것으로 파악됐다.
 


해당사건으로 정보가 유출된 시점은 약 2년 전이다. 하지만 이번 주에서야 해당사건의 원인이 SAP라는 것이 밝혀진 것. 사건이 발생했던 2013년으로 거슬러 올라가보면, 미국의 연방 정부의 신원조회를 담당하고 있는 USIS(US Investigations Services)사가 공격을 받아 정보가 유출되었고, 지난해 이 사실이 대중에게 알려졌다. 당시에는 든든한 국가의 후원을 받는 중국 해커의 소행이라는 사실만 잠정적으로 결정 났던 상황. 그러나 지난 주말, Nextgov.com이 해당 사건은 서드 파티(third party)에 의해 관리되고 있던 SAP의 취약점이 익스플로잇 되어 유출된 것이라는 증거를 찾아내어 밝혔다.

SAP 보안솔루션 업체 이알피스캔(ERPScan)사의 공동설립자인 알렉산더 폴리아코브(Alexander Ployakov)는 이 사실이 널리 알려져야 한다고 말했다. 이는 오냅시스(Onapsis)와 같은 SAP 취약점 관련 회사들이 몇 년 동안 우려했던 부분이기도 하고 그럴만한 가치가 있는 정보라고 설명했다. 이런 정보들이 공공영역에 제대로 공유되지 않아 SAP 개발이 지지부진한 상태였다고 지적했다.
 
지난 2012년에도 익명의 해커가 SAP 제로데이로 그리스 재무부를 공격한 바 있지만 SAP 트로이목마의 존재에 대해 알려진 건 1년이 지난 2013년이었던 사례도 있었다고 한다. 게다가 그마저도 부실한 내용이었다고 덧붙였다. 지난주에 오냅시스가 SAP SAPPHIRE에서 발생할 수 있는 공격패턴에 대한 보고서를 발표했지만, 여기에도 구체적인 내용은 없었다고 말했다.

“모든 조사는 이번처럼 자세하고 끈질기게 해야 한다. SAP가 진짜 공격의 시발점이라는 사실이 공표된 것은 처음이다. 이는 정부가 얼마나 편파적이었는지도 알 수 있는 대목이다.” 

폴리아코브는 이렇게 SAP 공격에 대해 알려져야만 보안도 강화될 수 있다고 강조했다. 또한 기업들이 연구원들의 경고를 더욱 귀담아듣는 자세를 갖추어야 유출사건의 실예가 되는 일을 피할 수 있다고 말했다. 이번에 밝혀진 USIS에 대한 공격은 올해 기업들의 보안성이 한층 강화되는 데에 어느 정도 영향력이 있을 것이라고 설명했다.

“전문가들이 다양한 시스템의 보안 취약점을 찾아내고 이를 세상에 알린 다음 사이버범죄가 실제로 일어나는 건 그저 시간문제라는 것을 알 수 있다. 다음 피해자가 누가 될지는 아무도 모르는 일이다. 어쩌면 당신일지도.”

그는 SAP를 사용하고 모든 기업들이 SAP 보안에 대해 진지하게 다각도로 재검토해볼 것을 권장했다. 취약점을 평가하고 관리하는 것뿐만 아니라 사용자 스스로가 관리하는 커스텀코드(custom code) 보안에도 관심을 가져야 한다고 강조했다. 절반 이상의 기업이 SAP 프레임워크는 커스텀코드 경향을 갖고 있기 때문이다. 또한 업무와 이벤트 모니터링 역시 분리해야 한다고 말했다.

이러나저러나 일단 가장 중요한 것은 SAP 시스템이 다른 인프라스트럭처(infrastructure)와 어떻게 연결되어 있는지 구조를 이해하는 것이라고 강조했다.  “비즈니스 애플리케이션들은 서로 상당히 유기적으로 연결되어 있다. 보면 알겠지만 한 개 인프라의 보안만 신경 쓸 것이 아니라 서드 파티 등 외부와 연결된 모든 곳의 보안도 중요하다. 공격자들은 본능적으로 가장 약한 곳을 찾을 것이다. 즉 가장 약한 부분이 안전하면 안전할수록 보안이 높아지는 것이다.”
@DARKReading
[국제부 주소형 기자(sochu@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기

과월호 eBook List 정기구독 신청하기

    • 유니뷰

    • 인콘

    • 엔텍디바이스

    • 핀텔

    • 아이비젼

    • 아이디스

    • 씨프로

    • 웹게이트

    • 지오멕스소프트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비전정보통신

    • 원우이엔지

    • 지인테크

    • 홍석

    • 이화트론

    • 다누시스

    • 테크스피어

    • 휴먼인텍

    • 슈프리마

    • 인텔리빅스

    • 시큐인포

    • 미래정보기술(주)

    • 동양유니텍

    • 다후아테크놀로지코리아

    • 트루엔

    • 경인씨엔에스

    • 세연테크

    • 성현시스템

    • 포엠아이텍

    • 프로브디지털

    • 넥스트림

    • 지엠케이정보통신

    • 위트콘

    • 솔텍인포넷

    • 한드림넷

    • 펜타시큐리티

    • 스카이하이 시큐리티

    • 쿼드마이너

    • 샌즈랩

    • 넷위트니스

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 네티마시스템

    • 케이제이테크

    • 알에프코리아

    • 혜성테크원

    • 아이엔아이

    • 미래시그널

    • 새눈

    • 케비스전자

    • 인더스비젼

    • 제네텍

    • 주식회사 에스카

    • 솔디아

    • 일산정밀

    • 알씨

    • 에이앤티글로벌

    • 미래시그널

    • 신화시스템

    • 레이어스

    • 메트로게이트
      시큐리티 게이트

    • 모스타

    • 보문테크닉스

    • 이스트컨트롤

    • 현대틸스
      팬틸트 / 카메라

    • 한국씨텍

    • 아이원코리아

    • 엘림광통신

    • 구네보코리아

    • 포커스에이아이

    • 티에스아이솔루션

    • 글로넥스

    • 이엘피케이뉴

    • 세환엠에스(주)

    • 유진시스템코리아

    • 카티스

    • 유니온바이오메트릭스

Copyright thebn Co., Ltd. All Rights Reserved.

시큐리티월드

IP NEWS

회원가입

Passwordless 설정

PC버전

닫기