(서울=NSP통신) = 기업들의 ERP 도입은 예상 외로 효과가 높다는게 정설이다. 통합 업무 시스템 구축 이나 효율적인 재고 관리가 가능하고 물류비용 감소나 원가 절감 그리고 대고객 서비스 개선이 장점으로 거론된다.
그 외에도 수익성 개선과 필요 인력·자원 절약, 생산성 향상과 매출 증대를 기대할 수 있다는 것이다. 그러나 무엇보다 ERP의 도입은 기업의 비즈니스 프로세스 혁신과 리드타임(Lead Time) 감소, 결산 작업 단축과 사이클타임(Cycle Time) 감소로 경영 투명성 확보와 표준화, 단순화, 코드화 등이 거론되는 게 사실이다.
이러한 중요성에도 불구하고 ERP 시스템에 대해 보안 피해를 당하는 기업이 늘어나고 있어 근본적인 보안대책이 매우 필요하다는 지적이 일고 있다.
이 같은 중요성으로 인해 행정안전부가 사이버 공격의 주요 원인인 소프트웨어 보안 약점을 전자정부 서비스 개발단계에서부터 제거하기 위해 정보시스템 구축 시 ‘소프트웨어 개발 보안(시큐어 코딩)’을 의무화하고 있는 것은 너무 시의 적절한 조치로 볼 수 있다.
시큐어 코딩이란 소프트웨어 개발과정에서 개발자 실수, 논리적 오류 등으로 인해 소프트웨어에 내재된 보안취약점을 최소화하는 한편, 해킹 등 보안위협에 대응할 수 있는 안전한 소프트웨어를 개발하기 위한 일련의 과정을 의미한다.
넓은 의미에서 소프트웨어 개발 보안은 SW 생명주기(SDLC, SW Development Lifecycle)의 각 단계별로 요구되는 보안활동을 모두 포함하며 좁은 의미로는 소프트웨어 개발과정에서 소스코드를 작성하는 구현단계에서 보안 취약점을 배제하기 위한 ‘시큐어 코딩(Secure Coding)’을 의미한다.
2019년 10월 10일 엔터프라이즈 IT 실무진에게 폭넓은 테크놀로지 정보를 제공하는 IT 전문 글로벌 미디어인 IT월드는 ERP 대표 실패 사례 15건을 발표했다. 필자는 그중 하나인 예기치 못한 데이터 유출로 낭패를 본 PG&E의 사례를 소개한다.
ERP 구축 과정에서 주로 기존 데이터베이스에서 가져온 생산 공정 데이터로 새 시스템을 테스트하는 경우가 있다. 2016년 5월, 업가드(UpGuard)의 위험 분석가 크리스 비커리는 퍼시픽가스전기회사(Pacific Gas and Electric)의 자산 관리 시스템으로 보이는 데이터베이스가 일반에 노출된 것을 발견했다.
여기엔 4만7000대가 넘는 PG&E의 컴퓨터, 가상머신, 서버, 기타 장비에 대한 세부 정보가 포함되어 있었으며 사용자 이름이나 암호가 없어도 볼 수 있게 완전히 공개되어 있었다.
PG&E 측은 처음에 이것이 생산 공정 데이터라는 것을 부인했으나 비커리는 이것이 생산 공정 데이터였으며 ERP 구축의 결과로 노출되었다고 주장했다.
‘데모’ 데이터베이스를 채운 후 실제 생산 상황에서 어떻게 반응할지 테스트할 목적으로 외부 용역 업체가 PG&E의 실제 데이터를 제공받았는데 그 후에 실제 생산 공정 데이터베이스에 필요한 보호 장치를 전혀 제공하지 않은 것이 원인인 것으로 밝혀졌다.
결과적으로 시스템에 대한 공격은 우연이던 고의적이던 자료의 해킹이라는 형태로 증가하고 있는 실정이다. 정보의 유출, 위조, 파괴 등은 금융 회사들의 목표와 이익을 해칠 수도 있고, 심지어 금융 거래를 중지시킬 수도 있는 무서운 결과를 초래한다.
따라서 시큐어 코딩의 의무화는 ‘기업의 사활이 걸린 데이터의 유출을 매우 중요하게 다루고 있는 결과’라고 할 수 있을 것이다.
NSP인사
ⓒ한국의 경제뉴스통신사 NSP통신·NSP TV. 무단전재-재배포 금지.