NSP통신

(서울=NSP통신) = 2000년대 초반에 ERP 시스템을 도입하는 회사는 대기업을 제외하고는 그다지 많지 않았다. 현재는 ERP 시스템과 그룹웨어는 공공기관 및 금융기관에서 기본적으로 사용하는 정보화 시스템이며, 이미 경영도구로 자리매김했다.

담당 업무 영역도 회계시스템을 기반으로 영업 및 생산관리 분야를 넘어서 다양한 설비를 제어하고 연동하는 가상화 서비스 영역까지 확대와 확장이 진행되고 있다.

권용명 정보관리·조직응용 기술사

이러한 중요성으로 인해 ERP 시스템에서 보안 취약점이 발견되고, 그로 인해 막대한 개인정보 유출이나 해킹 등으로 인해 내부 데이터 손실이 발생된다면, 그 기관은 심각한 타격을 입게 될 것이며, 경우에 따라서는 회복 불가능한 경우에 이르는 사례가 종종 보고되곤 한다.

그러나, 현실적으로 ERP 시스템에 대해서만큼은 실제 사용자나 관리자가 내용을 직접적으로 점검할 수 있는 방법이 없어 ERP 제공업체의 보안 수준에 의존하는 실정이다.

그래서 현재 제공되고 있는 ERP시스템에 대해서 안전성 보장을 위한 시큐어 SDLC(위협 모델링, 시큐어 디자인, 위험분석, 사용자 식별, 침투 테스트, 취약점 탐지 및 대응 등)를 기반으로 ERP시스템에 대해 소스 코드 단계별로 점검하여 위험성을 제거하고, 이를 검증하기 위한 노력이 지속적으로 진행되고 있다.

특히 인젝션(injection) 방식의 해킹 공격에 대비하고 안전한 데이터 보호를 위하여 주기적으로 시행하고 있는 시큐어 코딩(Secure Coding) 점검은 2012년부터 의무적으로 수행하도록 되어있으며, 그 대상이 소프트웨어를 개발 및 운영하는 자를 대상으로 시행하고 있다.

ERP 공급업체 또한 그 대상에 포함되어 있으며, 일반적인 소프트웨어 개발과는 달리 안전한 소프트웨어 개발을 목적으로 하기 때문에 소프트웨어 개발보안 방법론을 적용하도록 하고 있다.

이는 단순히 소스 코딩에 대한 점검뿐만 아니라 ERP 소프트웨어의 기획단계에서부터 발생 가능한 위험요인을 도출하고 이에 대응하기 위한 다양한 위험분석과 위협모델링, 공격패턴에 대한 대응 방안 등을 적용하도록 규정하고 있다.

사용자의 입장에서는 이러한 복잡한 여러가지 방법론 및 기능 등에 대해서 상세하게 학습하여 발생가능한 위험을 억제할 수 있도록 할 수 있는 역량이 부족하므로, 이를 손쉽게 파악하고 관리할 수 있도록 다음과 같은 사항을 중점적으로 점검을 하도록 한다.

가장 먼저 점검하여야 할 내용으로는 '입력 데이터 검증 및 표현' 항목으로 공격자가 의도하는 정보를 입력하지 않도록 시큐어 코딩이 적용되었는가 확인하는 사항이며, 구체적으로 발생 가능한 보안 위협에 대한 사례는 ‘OWASP Top 10’에서 제시하고 있다.

그 다음으로 중요한 내용은 '보안기능'에 대한 점검으로 이는 사용자에 대한 인증 및 확인, 비밀번호 관리, 접근 권한의 관리, 암호화에 사용되는 키 관리 등 사용자의 부주의로 인하여 발생가능한 위험을 얼마나 줄일 수 있는가 하는 점이다.

마지막으로 중요한 내용으로는 '에러 처리' 항목으로서 ERP 시스템에서 발생되는 오류 메시지를 이용하여 현재의 상태를 파악하고, 공격 가능한 취약점을 유추해 내지 못하도록 하는 통제방안이다.

ERP시스템은 많은 기관에서 사용하고 있는 표준화된 경영정보시스템으로 누구에게나 개방되어 있는 시스템인 만큼 그 관리 및 운영에 세밀한 주의가 필요한 시스템이다.

따라서, ERP 공급업체로 부처의 지속적인 보안점검 및 정기적인 안전진단과 주기적인 백업 활동을 통해서 안전하고 효율적인 ERP 시스템으로 활용되길 바란다.

NEWS

ⓒ한국의 경제뉴스통신사 NSP통신·NSP TV. 무단전재-재배포 금지.