요약 : 보안 블로그 시큐리티어페어즈에 의하면 SAP의 인공지능 플랫폼인 SAP AI 코어(SAP AI Core)에서 취약점이 다섯 개 발견됐다고 한다. 이를 합하여 새폰드(SAPwned)라고 부르며, 익스플로잇에 성공할 경우 접근 토큰을 얻어낼 수 있고, 이를 통해 고객 데이터에 접근할 수 있게 된다고 한다. 보안 업체 위즈(Wiz)가 발견했으며, 1월 25일 SAP 측에만 은밀히 제보했다. SAP가 이를 접수해 문제를 해결한 건 5월의 일이며, 어제 위즈가 세부 내용을 공개했다. 아직까지 이 취약점을 통해 피해가 발생한 사례는 없는 것으로 보인다.


배경 : 클라우드 플랫폼의 고객 계정에 접근할 수 있다는 건, 고객의 데이터를 열람하거나 조작할 수 있다는 뜻이 된다. SAP AI 코어는 클라우드 기반의 인공지능 플랫폼인데, 공격자가 고객의 데이터를 조작할 수 있다는 건 인공지능의 결과물에도 중대한 영향을 미칠 수 있다는 뜻이다. 인공지능의 데이터를 오염시켜 결과물을 망쳐놓는 공격 수법이 최근 유행하고 있기도 하다.

말말말 : “이 취약점을 익스플로잇 하여 공격을 이어갈 경우 다양한 악성 행위가 가능해집니다. 공격자가 은밀하게 공격을 진행했을 수도 있지만, 아직까지 명확히 눈에 띄는 사례는 없습니다.” -위즈-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>