SAP ABAP 소스코드 취약점분석툴, 보안적합성 검증받는다

임민철 기자 입력 : 2020-11-18 21:53 수정 : 2020-11-18 21:53:14
SAP코리아, 빅스피어·인스피언과 검증 추진 "SAP ERP 도입 공공기관 보안 수준 높인다"
임민철 기자 2020-11-18 21:53:14
  • 카카오스토리
  • 밴드
  • 웨이보
  • URL 공유하기
  • 카카오톡
SAP코리아가 협력사와 함께 SAP 전사적자원관리(ERP) 솔루션의 소스코드 취약점 분석 보안적합성 검증을 받기로 했다. SAP ERP를 도입하고 부가기능을 구현해 쓰고 있는 공공기관의 보안 취약점 문제 개선에 도움이 될 전망이다.

SAP코리아는 보안 분야 협력사 빅스피어, 인스피언과 함께 'SAP 코드 취약점 분석(SAP Code Vulnerability Analysis)' 솔루션의 보안적합성 검증 절차에 착수했다고 18일 밝혔다. 앞서 SAP코리아는 지난 2018년 7월 빅스피어와 공공기관 SAP ERP 보안 강화를 위한 양해각서를 체결해 공공기관 보안 강화를 위해 협업해 왔다. 빅스피어는 국회, 국가정보원 등 공공기관 대상 경영컨설팅과 보안시스템 구축 사업을 수행하는 기업이다.

SAP가 보안적합성 검증을 받기로 한 소스코드 취약점 분석 솔루션 'SAP 코드 취약점 분석'은 아밥(ABAP)이라는 프로그래밍 언어로 개발된 소프트웨어 소스코드에 사용된다. ABAP은 SAP ERP 전용 프로그래밍 언어다. SAP ERP 솔루션에서 기본 제공하지 않는 특화 기능을 고객사 환경에 맞게 추가로 구현할 때 ABAP이 쓰인다. SAP ERP 자체는 SAP 본사에서 제품 출시 과정에 포함된 보안 취약점 관련 테스트와 검증을 거친다.
 

이성열 SAP코리아 대표. [사진=SAP코리아 제공]


보안적합성 검증은 공공기관에 공급되는 보안관련 장비나 소프트웨어가 통과해야 하는 절차다. 각 제품 유형별로 공공기관에 도입이 허용되는 요건이 규정돼 있는데, SAP 코드 취약점 분석과 같은 소스코드 보안취약점 분석도구 유형은 'CC인증' 또는 '국가용 보안요구사항 준수 성능평가'를 받은 제품이어야 공공기관에 도입될 수 있다.

국가용 보안요구사항 준수 성능평가 기준은 제품 유형에 따라 다른데, 소스코드 보안취약점 분석도구를 위한 기준에는 분석대상 소스코드가 무슨 프로그래밍 언어를 사용한 것인지도 포함돼 있다. 과거 기준으로 성능평가를 받을 수 있는 소스코드 보안취약점 분석도구는 C 또는 자바, 두 프로그래밍 언어로 만든 소스코드의 보안취약점 분석도구 뿐이었다. 올해부터 대상 언어가 확대돼, ABAP 소스코드도 성능평가를 받을 수 있게 됐다.

SAP 코드 취약점 분석이 보안적합성 검증을 받으면 SAP ERP를 도입하고 ABAP 언어로 특화 기능을 개발해 사용 중인 공공기관이 직접 그 소스코드에 대한 보안취약점을 분석하고 보안 수준을 개선할 수 있게 된다. 현재 SAP 코드 취약점 분석은 한국수력원자력, 한국지역난방공사, 한국서부발전 등에 공급돼 보안 취약점 개선 성과를 거두고 있다. 국내 공기업들은 2000년대 초반부터 SAP ERP 솔루션을 도입해 운영해 왔다.

SAP코리아는 SAP 코드 취약점 분석의 보안적합성 검증을 통해 더 많은 공공기관이 ABAP 전용 소스코드 보안 취약점 분석 도구를 활용하고 각 공공기관에 최적화된 프로그램의 취약성을 개선하도록 지원할 방침이다.

이성열 SAP코리아 대표는 "성능평가 완료 이후 ABAP 소스코드 보안 취약점 분석도구 도입 여부가 SAP ERP 솔루션을 도입한 공공기관의 정보시스템 보안성 심사에 중요한 요소로 부각될 것으로 예상된다"며 "향후 공공기관이 차질 없이 코드 취약점 분석 솔루션을 도입할 수 있도록 준비하겠다"고 말했다.

©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지