전 세계 기업들이 가장 많이 사용하고 있는 비즈니스 애플리케이션을 공급하고 있는 SAP가 구축, 운영하고 있는 시스템 중 95%가 3가지 보안취약점에 노출돼 있다는 주장이 나왔다.
미국 지디넷 등 외신에 따르면 보안회사 오냅시스(Onapsis)는 SAP가 관리하는 시스템이 해킹에 취약해 각종 지적재산(IP), 금융정보, 고객 및 납품업체 정보와 함께 데이터베이스 웨어하우스 정보까지 노출될 수 있다고 지적했다. SAP는 전 세계에 약 25만여 고객사를 보유하고 있으며, 글로벌 2천대 기업 중 약 80%가 이 회사가 제공하는 애플리케이션을 활용하고 있다.
3가지 취약점 중 오냅시스가 첫번째로 지적한 것은 서로 다른 SAP 시스템들 간 연결구간(pivots)이 취약한다는 점이다. 공격자는 여러 SAP 시스템 중 보안이 허술한 시스템을 노려 원격으로 악성코드를 삽입하고, 이를 통해 연계된 다른 핵심 시스템까지 접근할 수 있다는 분석이다.
또한 고객사 및 납품회사가 공격 대상이 될 수 있다. 공격자는 마음대로 대상 시스템에 드나들 수 있도록 백도어(뒷문)를 구축한 뒤 'SAP J2EE 사용자 관리 엔진'을 생성한다. 그 뒤 SAP 포털 및 프로세스 인테그레이션 플랫폼에 접속할 수 있는 권한을 확보할 수 있게 된다는 것이다.
데이터베이스 웨어하우스를 노린 공격은 기업용 SAP 애플리케이션을 공격대상으로 삼을 수 있다. 특정 사용자의 권한을 악용해 운영체제(OS)에 명령을 내려 SAP RFC 게이트웨이를 공격할 수 있게 한다는 설명이다. 이를 통해 SAP가 관리하는 데이터베이스 내부 내용을 조작하는 일까지 가능하다는 것이다.
마리아노 누네즈 오냅시스 최고경영자(CEO)는 가장 놀라운 점은 SAP 운영팀과 IT보안팀 사이에 책임소재가 불분명하다는 점이라고 지적했다. 대부분 패치가 보안보다는 해당 시스템의 운영에 문제가 없도록 하는데 집중하다보니 상대적으로 보안패치는 뒤로 밀릴 수밖에 없다는 것이다.
SAP 애플리케이션을 노린 정보유출은 매일 발생할 수 있지만 관련 기업 최고정보보호책임자(CISO)들이 이 문제에 대한 가시성을 확보하지 못하고 있다고 그는 덧붙였다.
오냅시스에 따르면 르네 구트만 어큐밴트 최고정보보호책임자(CISO)는 대부분 기업들이 자사 시스템을 클라우드로 전환해 모바일 기기나 빅데이터 기반 서비스를 활용할 수 있도록 기회를 엿보고 있기 때문에 SAP와 같은 핵심 비즈니스를 담당하고 있는 레거시 시스템에 대한 보호가 더욱 중요해질 것이라고 밝혔다.
누네즈 CEO는 이러한 경향은 지속되고 있을 뿐만 아니라 SAP HANA와 관련된 보안문제를 악화시키고 있으며, 이 플랫폼에 영향을 주는 새로운 보안 패치가 4.5배나 증가했다고 설명했다. SAP 생태계에서 핵심을 맡고 있는 데이터 저장 플랫폼인 SAP HANA는 클라우드, 온프레미스 두 곳 모두 보호조치를 취해야한다는 것이다.
SAP 애플리케이션을 가능한 안전하게 지키기 위해 기업들은 SAP가 공개하는 보안공지를 지속적으로 확인해 네트워크를 꾸준히 모니터링하고, 사이버공격으로부터 보호하고, 위기관리에 대응하기 위한 정책을 강화해야 할 것으로 전망된다.
관련기사
- SAP, 데이터 시각화 SW 신기능 공개2015.05.10
- SAP, IoT 클라우드 플랫폼 띄운다2015.05.10
- SAP 분석 플랫폼에 구글 협업 기술 통합된다2015.05.10
- SAP, 축구용 빅데이터 솔루션 올 여름 출시2015.05.10
이러한 문제를 해결하기 위해 CISO가 취할 수 있는 방안에 대해 오냅시스는 먼저 SAP를 통해 관리하고 있는 회사자산에 대한 가시성을 확보해 위험도를 측정하는 것이 우선이라고 조언했다. 이를 기반으로 지속적인 모니터링을 통해 새로운 위협에 대한 보안침해 흔적지표(Indicators of Compromise, IoC)를 측정하는 일이 중요하다고 밝혔다.
이러한 지적에 대해 SAP측은 고객사의 보안과 제품 안정성에 대해 업계 최고 기준을 적용하고 있다며 기밀, 통합, 사용성, 데이터 프라이버시를 가장 중요한 가치로 내세워 예방(Prevent)-대응(React)-감지(Detect)라는 보안전략 아래 소프트웨어 개발 주기에 걸쳐 개발 프로세스의 프레임워크, 가이드라인, 도구, 직원 교육을 제공해 SAP 솔루션의 구조, 설계, 도입에 이르는 전 과정에서 전반적인 보안 수준을 유지하고 있다고 해명했다.