지난해 터진 네이트, 넥슨 등에서 5000만명에 이르는 고객정보가 통째로 유출된 대형 정보유출사고는 정보보안의 중요성을 다시금 일깨웠다. 기업은 데이터센터뿐 아니라 고객정보 데이터베이스(DB)도 뚫려서는 안 된다는 사실을 깨달았다. 하지만 더 심각한 `구멍`이 있다. 놀랍게도 대기업, 글로벌 기업 경영 현장 곳곳에 기밀정보와 고객정보가 한꺼번에 해킹을 당할 수 있는 보안 취약지대가 버젓이 존재한다. 바로 전사자원관리(ERP)로 불리는 SAP다.
지난해부터 산업계에는 해커에 의해 무장해제될 수 있다는 `SAP 공포`가 확산되고 있다. SAP는 기업이 펼치는 디지털경영 활동의 요체나 다름없다. 세계 곳곳에 산재한 기업의 수십, 수백개 공장과 법인에서 이뤄지는 모든 구매, 개발, 제조는 물론이고 마케팅, 서비스, 물류, 회계 등의 업무를 통합 관리하는 글로벌 SAP 시스템은 기업 경영 활동의 모든 것이다.
SAP ERP 내 DB는 데이터센터 내 정적인 DB와 달리 24시간 살아 움직이는 업무 현장의 데이터다. 모든 정보가 뒤섞여 24시간 돌아간다. SAP ERP는 믿기 어려울 만큼 내부 침입이나 해킹 등에 취약한데도 아직 해킹 무풍지대로 남아 있다. `해커들이 다국적기업 SAP에 손을 대지 않는 특별한 이유가 있는 걸까` 하는 의문이 들 정도다.
매출 수조원대의 대기업, 글로벌 기업들이 지난해부터 앞다퉈 SAP ERP 보안 작업에 나서고 있다. 정보보호 산업의 역사가 20년을 훨씬 넘었는데 기업 경영의 최일선을 담당하고 있는 SAP ERP의 보안 문제가 근자에야 이슈가 되는 것을 보면 놀라지 않을 수 없다. 기업들이 이제야 암호화에 나서는 것도 놀랍지만 지금껏 초대형 정보유출사고가 없었던 것도 신기하다.
SAP 암호화 추세가 제대로 기업 현장에 뿌리를 내리기 위해서는 몇 가지 전제가 필요하다.
SAP 보안은 SAP 특성상 슈퍼컴퓨터가 20∼30년간 가동해도 풀지 못할 만큼 현존 세계 최고 수준의 암호화 모듈을 토대로 구축돼야 한다. 만약 빅4 그룹사나 애플 같은 대기업의 글로벌 ERP가 해킹돼 기업 기밀과 고객정보가 유출되는 사고가 터진다면 어떻게 될까. 생각만 해도 끔찍하고, 절대로 일어나서는 안 되는 일이다.
이를 막기 위해서는 당연히 국내 그룹사, 애플 같은 글로벌 기업의 SAP 암호화를 구축해본 검증된 제품을 채택해야 한다. 수백억원대 SAP를 구축하면서 암호화 구축작업을 대형 해킹사고가 우려될 만큼 극히 부실하게 하는 일이 버젓이 벌어진다. 그룹사나 애플 같은 회사의 SAP 암호화는 기술의 높은 진입장벽 탓에 그저 그런 컨설턴트 한두 명이나 개발자 서너 명이 구축할 수 없다.
SAP는 특성상 경쟁사 대비 가격이 저렴하다거나 덤을 얹어준다고 덜컥 구매할 수 있는 제품이 아니다. 최근 해커들은 철벽 같은 네트워크를 뚫는 게 여의치 않자 인터넷망, 메신저, 이메일 등을 이용해 사내 취약 PC를 뚫은 후 그 PC를 거쳐 서버와 핵심 저장장치에 접근하는 우회전략을 쓴다. SAP가 뚫린다는 것은 매출 수조원대인 기업의 모든 기밀이 외부에 고스란히 유출된다는 뜻이다. SAP 보안작업은 기업 활동에 치명타를 입히는, 터져서는 안 되는 대형사고를 100% 막기 위한 조치라야 한다. 최근 드러난 일련의 SAP 보안 부실공사를 감안, 글로벌 기업은 디지털 경영의 본체인 SAP에서 제2의 대형사고가 터질 수도 있음을 인식해야 한다.
최승락 케이사인 대표 csr@ksign.com
