[포럼] `ERP 데이터`, 암호화로 보호하라

ERP 내부 저장 자료는 비즈니스 관련 핵심정보
노출 시 기업 존폐 우려 암호화 조치 통해
적극적 데이터 보안 필요 ERP 보안 중요성 인식해야

  •  
  • 입력: 2015-12-08 18:20
  • 프린트
  • 페이스북
  • 트위터
  • 카카오스토리


[포럼] `ERP 데이터`, 암호화로 보호하라
김현준 한국보메트릭 이사


기업에 있어서 자사의 모든 비즈니스 관련 정보가 담긴 ERP시스템이 침해당하는 일은 상상 조차 하기 싫은 악몽 같은 일이다. 하지만 그런 악몽 같은 일은 이미 현실이 되고 있다.

지난 2013년 미국 연방 정부 신원조회를 담당하고 있는 USIS(US Investigations Services)사가 공격을 받아 정보가 유출됐다. 초기 수사에서는 정부의 후원을 받은 중국 해커의 소행이라는 사실만 잠정적으로 알려진 채 자세한 공격 정황은 여전히 미궁 속이었다. 그러나 올해 해당 사건이 서드 파티(third party)에 의해 관리되고 있던 SAP의 취약점으로 인한 유출이라는 사실이 밝혀졌다. SAP ERP가 공격 경로로 이용된 것이다. 이는 많은 기업들로 하여금 ERP 시스템 보안에 대한 경각심을 갖게 한 사건이었다.

기업의 경영 및 관리를 위한 전사자원관리, 즉 ERP 시스템은 회사 내 각종 경영자원을 하나의 통합 시스템으로서 관리함으로써 생산성을 극대화한다. ERP 내부에 저장되는 경영 자원은 임직원의 개인정보, 금융거래 기록, 영업정보 등 비즈니스 관련 중요한 정보들이다. 노출 시, 기업의 존폐를 염려해야 할 정도로 중요한 자료다. 앞선 USIS공격에서 유출된 정보 역시 미국 연방공무원의 신원조회에 사용되는 1급 기밀문서였다. 이처럼 기업 기밀을 포함한 주요 경영자원이 ERP 시스템을 통해 관리되는 만큼 ERP내 저장된 데이터 보안의 중요성이 점차 증대되고 있다. ERP 시스템 보안이 곧, 기업보안이라고 해도 과언이 아니다.

하지만 아직 국내 기업들은 ERP 보안 사고를 남의 나라 일이라고 취급하는 듯하다. 지난해 기준으로 ERP 데이터에 대한 암호화 등의 보안조치를 한 곳은 10%도 안 되는 것으로 밝혀졌다. 물론 각 기업들의 업무 구성에 따라 ERP로 임직원 정보를 저장하지 않는 경우도 있을 수 있다. 그러나 개인정보보호법과 관계없이 회계 정보 등 수 많은 기업 정보가 저장된 ERP의 보안관리가 허술하다면 국내에서도 USIS 공격 사례와 같은 ERP 대상 공격이 일어나지 않으리라는 보장은 없다. 수면에 드러나지 않을 뿐 이미 발생했거나 현재 진행 중일지도 모른다. SAP라는 특정 제품뿐만 아니라 모든 ERP에 저장된 데이터의 보안에 대한 심각한 접근이 필요한 시점이다.

ERP 보안을 위한 무수히 많은 방식이 있지만, 그 중 암호화 조치는 데이터 보안을 구성하는 강력한 방법이다. 암호화 및 이와 통합된 키 관리 솔루션을 구축하면 서비스를 위한 경로 이외의 모든 접근을 차단하고, 혹시 데이터 유출이 발생한다고 해도 암호화된 데이터를 풀어 볼 수 없기 때문에 안전하다. 이때, 데이터베이스 혹은 애플리케이션 등 기존 IT 시스템 구조를 재구성하거나 변경할 필요가 없는 보메트릭과 같은 커널방식 암호화 솔루션을 선택할 경우 신속한 적용 및 시행이 가능해 업무 연속성이 보장된 상황에서 데이터 보안의 구축이 가능하다. 또한, 일반적인 컬럼 단위 암호화 방식에 비해 성능 문제를 최소화하고, 회계 정보 등 수치 데이터뿐만 아니라 보고서 파일, 로그 파일, 이미지 파일, 및 영상 파일 등의 비정형 데이터까지 보호할 수 있다.

기업의 경영자원을 효율적으로 사용할 수 있도록 돕는 ERP 보안에 경보등이 울렸다. 기업들은 ERP 시스템 내 비즈니스 기밀을 안전하게 보호하기 위해 하루 빨리 ERP 보안의 중요성을 충분히 인식하고, 최선의 보안 조치를 하루 빨리 시행해야 할 것이다.

김현준 한국보메트릭 이사

[저작권자 ⓒ디지털타임스 무단 전재-재배포 금지]

추천기사