• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

SAP 및 ERP 해킹, 패치 배포로 보안 완성? 2015.07.07

미국 정부 관련 기관에서 잇달아 일어난 SAP, ERP 해킹 사고

침투 실험 및 감사 과정 중 나온 중간결과에도 배울 것 많아


[보안뉴스 문가용] 현대 보안업계에서 가장 두드러지는 특징이라면, 한 해에 너무나도 많은 사건이 일어난다는 것이다. 특히 SAP와 ERP 시스템에서 점점 더 많은 사고들이 발생하고 있다는 것은 일반 업계들까지도 긴장시키고 있다.

 


한 달 전, 정부와 계약을 맺고 신원조사를 대행해주는 기관인 USIS에서 지난 2년 간 정보유출이 있어왔다는 게 드러나며 업계에 적지 않은 충격을 준 바 있다. 무엇보다 SAP에 있는 취약점이 공개적으로 악용된 첫 사례라 여러 매체의 헤드라인을 장식하기도 했다.


그런데 그로부터 불과 수주 후 또 다른 사고가 벌어졌는데, 이는 그 규모가 훨씬 더 컸다. 사건 발생지는 미국 인사관리처, 피해자 규모는 최초 파악된 것만 국가 공무원 4백만 명. 날이 가면서 이 4백만이란 숫자는 천만 단위로까지 불어났다.


미국연방공무원연합(AFGE)에서는 인사관치처장인 데이비드 콕스(David Cox)에게 편지를 한 통 보냈다. “미국 인사관리처가 제공한 정보만을 보면 아마도 데이터 파일 중앙 관리인 계정이 표적이었던 것 같습니다. 그렇다면 현재 해커는 모든 연방 공무원의 민감한 정보들을 상당히 가지고 있는 것으로 보입니다.”


아마도 이 둘은 동떨어진 개별 사건이 아닐 것이다. 인사관리처에서 어떤 시스템을 사용하는지 정확히 알지는 못하지만 높은 확률로 ERP에 바탕을 둔 시스템일 것이기 때문이다. 게다가 최근 들어 갑자기 SAP나 ERP 등 업무환경에서 널리 사용되고 있는 프로그램들 속에서 치명적인 취약점이 속속 발견되고 있기도 하다. 그래서 SAP와 오라클은 매달 엄청난 양의 패치를 발표한다.


이 대목에서 궁금한 게 있는데, 과연 이 패치를 업체들이 제대로 하고 있냐는 것. 사실 SAP나 오라클에서 내놓는 사무 인프라 솔루션은 상당히 복잡한 구조를 가지고 있기 때문에 패치나 환경설정을 한다는 게 일반 소프트웨어 하듯 클릭 몇 번으로 되는 간단한 작업이 아니다. 일반 PC 백신도 가끔 시스템 리소스를 잡아먹는다고 꺼놓는 사용자들이 이 복잡한 작업을 자발적으로 할까? 난 솔직히 의심이 든다.


그렇기에 패치만으로는 보안을 강화할 수 없다는 게 널리 알려져야 할 필요가 있다. 기업에서도 이를 개인의 책임으로만 간주할 게 아니라 시스템 상 필요한 패치와 수정작업을 할 수 있도록 뭔가 장치를 마련해야 한다. 그런 장치나 노력에는 다음과 같은 것들이 있다.

- 엄격한 패치 관리 시스템

- 보안 및 환경설정 변화 관리 시스템

- 보안 위협 모니터링 프로그램


SAP 보안은, 말은 간단하나 현실은 전혀 그렇지 않다. SAP가 제대로 패치되고 정보보안의 혜택을 받으려면 SAP 시스템에 가해질 수 있는 가장 최신의 사이버보안 위협들을 이해하고 있어야 한다. 특히 다음 네 가지 사안을 염두에 두는 것을 제안한다.


1. IT 보안과 CISO

당신이 IT 보안담당자나 혹은 CISO라면 아마도 주어진 책임보다 훨씬 더 적은 통제권을 매일처럼 느끼며 근무하고 있을 것이다. 물론 여기엔 업무적인 통제력도 포함되긴 하지만, 그것보다 ‘보안’이라는 것 자체가 파면 팔수록 거대해보여서 ‘과연 내 능력 안에서 이를 해낼 수 있을 것인가’하는 의미에서의 통제력을 말한다.


하지만 하루아침에 모든 정보를 지켜내는 슈퍼맨이 될 수는 없다. 그럴 때는 우리 회사 네트워크를 벗어난, 보다 넓은 시야를 가져보도록 애쓰는 게 힌트가 될 수 있다. 네트워크의 경계를 넓히는 것, 그것이 의외로 많은 것들을 해결할 수 있다.


2. SAP BASIS 관리자

시스템 환경설정, 패치 적용, 시스템 업그레이드와 같은 작업들은 보안에 있어서 필수불가결의 요소이다. 이런 작은 것들이 결국엔 시스템을 더 단단하게 만들기 때문이다. 하지만 동시에 이런 과정들을 수행하다가 만드는 실수가 더 큰 사고를 일으킬 수도 있다. 무슨 작업을 하든 네트워크에 어떤 영향이 있을 것인지를 먼저 판단해야 한다. 그것이 보안과 관련이 있는 것이라고 하더라도.


3. 시스템 감사

당신이 감사자 혹은 감사 권한을 가지고 있다면 아마 알고 있을 텐데, 대부분의 대형 감사 기관이나 업체들에서는 이미 SAP 사이버보안을 감사 항목에 포함시켰다. 그렇다면 SAP 시스템을 어떤 시각에서 어떤 방법으로 감사하는 지를 미리 알아두는 것도 시스템을 더 단단히 지키는 데에 좋은 힌트가 될 수 있다는 뜻이다.


4. 침투 실험

외부 침투 실험이나 내부 침투 실험을 진행하는 동안 분명히 SAP 시스템과 네트워크가 서로 맞닿은 지점을 한 군데 이상 발견할 가능성이 높다. SAP 시스템 자체만으로도 굉장히 복잡한 구조로 되어 있어서 공부할 것이 많은데, 이렇게 네트워크와 연결된 지점이 생겨버리면 그런 다양한 요소들의 상호작용 방식도 추가로 이해해야 한다. 그리고 그런 다양한 작용들 중에서 어떤 취약점이 등장할 수 있나도 살펴야 한다. 침투 실험은 그 결과 자체만으로도 의미가 있지만, 실험 과정 중에 발견된 것들에도 활용가치가 충분히 들어있다.

 

글 : 후안 파블로 페레즈(Juan Pablo Perez)

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>