[보안뉴스 주소형] 컨설팅업체인 오냅시스(Onapsis)사의 ERP(전사적자원관리) 보안 연구원들이 SAP BusinessObject와 SAP HANA에서 새로운 다섯 가지 취약점을 발견했다. 이 가운데 세 가지는 상당히 위험도가 높은 편이다. 특히 그 중 한 개는 필수적인 시스템에서 해커들이 오버라이트를 실행토록 하는 것으로 파악됐다.

※오버라이트(Overwrite): 표시 장치나 기억 장치에 정보를 기록하는 경우에 어느 장소에 기록되어 있던 정보에 겹쳐서 기록함으로써 원래의 정보가 지워지는(파괴되는) 기록 방법.

위험도가 높은 세 가지 취약점은 모두 복잡한 업무 트래킹과 분석시 사용되는 BusinessObject 솔루션에서 발견됐다. 이는 주로 중요한 사업계획에 필요로 하는 고객 정보, 가격, 금융 예상 등과 같은 민감한 정보들을 관리하는 역할을 하는 솔루션으로 해당 정보들은 각 기업의 차별화된 경쟁력이고 ‘대외비’ 자료인 셈이다.

세 가지 취약점의 경우 신원미상의 해커들이 무단으로 기업 대외비를 검색하고 회계상의 정보에 멋대로 출입하여 지우는 등 기업 정보를 오버라이트까지 할 수 있다. 이 모든 것을 시스템에 접촉 없이 원격으로 조정이 가능한 것으로 파악됐다. 또한 BusinessObject에서 위험도 중(中)에 해당되는 취약점 역시 회계상의 정보를 몰래 읽을 수 있게 해준다.

그 외 중간 위험도에 해당되는 취약점이 추가로 SAP HANA에서 발견됐다. HANA는 SAP의 주력 클라우드 중 하나이자 차세대 데이터베이스와 애플리케이션의 플랫폼이다. HANA의 관리자 툴에서 교차사이트 스크립팅이 감지된 것, 정체불명의 사용자가 정보에 접근하는 것뿐만 아니라 합법적인 사용자로부터 자격권한을 인증 받을 수도 있다. 

“정보 출입권을 갖게 된 해커는 특정 사용자로 가장하여 해당 이용자와 동등한 권한을 갖고 정보를 이용하게 된다”고 전문가는 설명했다. “해커가 관리자로 가장하게 된다면 각종 보안 체계는 아무짝에도 쓸모없게 된다”

이번 SAP의 보안을 컨설팅한 오냅시스는 지난주 140여개의 해당 경보를 발령했다. 전문가들은 이미 알려진 취약점들에 대한 패치가 있었다면 기업 어플리케이션 공격의 4분의 3은 발생하지 않았을 것이라고 예상했다. 기업이 해당 시스템들을 패치하는 데는 평균적으로 18개월정도 걸린다.

“SAP 시스템을 안전하게 사용하고 싶다면 취약점들을 패치하는 단계를 밟거나 통제수단을 실행시켜야 한다”고 오냅시스사의 에스겔 구티스만(Ezequiel Gutesman) 연구소장이 말했다. “최근 적절한 보안대책 부재에 대한 문제가 부각되고 있다. 특히 하우징 정보와 중요한 거래에 사용되는 시스템을 다룰 시 주의해야만 성공적인 사업을 이어갈 수 있다”

추가) 현재는 5개 취약점 모두 패치가 나온 것으로 파악됐다. 

@DARKReading    

[국제부 주소형 기자(sochu@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>