위험도가 높은 세 가지 취약점은 모두 복잡한 업무 트래킹과 분석 시 사용되는 BusinessObject 솔루션에서 발견됐다. 이 세 가지 취약점의 경우 신원미상의 해커들이 무단으로 기업 대외비를 검색하고 회계상의 정보에 멋대로 출입해 지우는 등, 기업 정보를 오버라이트까지 할 수 있다. 이 모든 것을 시스템에 접촉 없이 원격으로 조정이 가능한 것으로 파악됐다.

그 외 중간 위험도에 해당되는 취약점은 SAP HANA에서 발견됐다. HANA는 SAP의 주력 클라우드 중 하나이자 차세대 데이터베이스와 애플리케이션의 플랫폼이다. HANA의 관리자 툴에서 교차사이트 스크립팅(XSS) 취약점이 감지된 것, 이를 바탕으로 정체불명의 사용자가 정보에 접근하는 것뿐만 아니라 합법적인 사용자로부터 자격권한을 인증 받을 수도 있다. 

이와 관련 최근 SAP는 위의 취약점 5개에 대한 패치를 모두 완료했다고 밝혔다. SAP 본사 측에 따르면, 지난해 초 오냅시스(Onapsis)사로부터 취약점 5개에 대한 정보를 접수받고 최종적으로 패치 5개를 모두 대중에게 공표했다는 것. 이에 따라 SAP 사용자들은 ‘6. solution’에 있는 패치를 다운받아야 안전하다.

이를 뒷받침 하듯, 최근 본지는 ‘베일에 쌓여있던 SAP 보안실태가 점점 드러나나?’라는 제하의 기사를 통해 SAP ERP 시스템 안에 있는 기밀정보가 SAP의 취약점을 통해 유출됐다는 정황이 밝혀졌다고 보도했다. 유출된 정보는 연방공무원의 신원조회에 사용되는 1급 기밀문서였던 것으로 파악됐다. 하지만 SAP를 비롯한 다른 전사적자원관리(ERP) 시스템이 공격에 활짝 열려있는 상황이라는 경고는 오랜 전부터 제기되어 왔었다.

이에 대해 SAP 본사 측은 본지 답변을 통해 “2014년에 발생한 일로, 한 디지털 포렌식(Digital Forensic)회사의 검토 자료를 통해 과거의 일이 재언급 되고 있다. 해당 자료는 SAP의 취약점을 통해 해킹이 이뤄졌다고 밝히면서도, 누구의 잘못이라고 책임을 묻지는 않았다”고 밝혔다.

또한 이번에 발견된 5개의 보안 취약점에 대해서는 “SAP는 보안을 매우 중요하게 생각하고 있으며, 한국을 비롯한 전 세계 고객들에게 최소 한 달에 한 번씩 보안 패치 관련 소식을 전하고, 설치를 권유하고 있다. 보안 패치를 배포 후 즉시 설치하는 것은, 공격으로부터 고객사의 시설을 보호하는 데 매우 중요하다”면서 “SAP는 예방(Prevent), 감지(Detect) 및 대응(React)등 세 가지의 주안점을 기반으로 포괄적인 보안전략을 수행해오고 있다. SAP는 이러한 전략의 일환으로 ‘안전 소프트웨어 개발 사이클(Secure Software Development Cycle)’이라고 불리는 요소를 개발해 보안 시스템의 프레임워크를 구축했다. 이는 수천 곳에 이르는 SAP의 공공 및 민간 부분 고객사들이 활용하고 있다”고 설명했다.

그러나 이는 SAP 본사 측의 원론적인 답변이라고 할 수 있다. 한국의 수많은 고객들을 책임지는 SAP코리아 측은 이번 취약점에 대한 어떠한 공식적인 입장도 내놓지 못한 채 본사 측 입장만 앵무새처럼 전달하고 있다. 특히. SAP 솔루션의 보안취약점과 관련해서 추가적인 문제가 불거졌다면 한국 고객들의 상황은 어떤지, 패치 완료현황은 어느 정도 되는지 먼저 발표해야 하는 것이 맞다. ERP 분야 글로벌 선도 기업으로써 한국에서도 수많은 고객을 보유하고 있는 SAP코리아 측에서 솔루션 판매에만 급급한 채 보안을 포함한 체계적인 유지관리가 이루어지지 않는다면 한국 소비자들의 외면을 받는 일은 시간문제다.