피플소프트, 보안이 상당히 심각한 수준이라고?

정말 많은 회사에서 정말 중요한 정보를 관리하는 시스템인데

질타 받은 SAP 보안보다 5년은 뒤쳐져 있는 피플소프트

[보안뉴스 주소형] 최근 SAP 제품이 세간의 주목을 끌었다. ERP 시스템 취약점이 알려졌기 때문이다. 그런데 이보다 더 심각한 것이 있으니 바로 피플소프트(Peoplesoft)다. 이알피스캔(ERPScan)사의 한 연구원이 피플소프트(PeopleSoft) 보안에 다수의 취약점이 있다고 증명하고 나섰다. 게다가 위험 수준이 매우 높은 취약점들이라는 것. 이 취약점들은 개인정보 탈취, 기업의 주요정보 위조 및 변조, 공급사 과정 간섭 등이 가능한 것으로 알려졌다.

피플소프트의 경우 현재 7,000개 이상의 기업들이 활용하고 있다. 여기에는 포춘지(Fortune)가 선정한 100대 기업 중 절반이 포함되어 있다. 피플소프트는 민감하고 사업상 중요한 정보 관리에 사용된다. 사실 지난 2010년에 이미 이 플랫폼에서 취약점들로 인해 정보가 유출된 적이 있었다. “하지만 피플소프트 애플리케이션 보안이 다뤄졌던 적이 없었다”라고 ERPScan의 알렉세이 티우린(Alexey Tyurin) 보안부서장이 말했다.

이는 결국 사용자들과 공격자들 사이의 지식 격차를 벌이는 결과를 낳았다. 공격자들은 이미 해당 취약점을 인지하면서도 익스플로잇하고 있는 가운데 해당 애플리케이션을 사용하고 있는 기업들은 취약점에 대한 테스트조차 할 수 없는 수준이다.

이러한 상황이 반복되자, 티우린 연구원은 이를 제대로 대중에게 알릴 필요성을 느끼고 해당 취약점에 대한 위험성을 공표하기로 한 것이다. 특히, 큰 사건으로 이어질 수 있는 요소들을 증명했다. 한 예로 일반 사용자가 이력서 양식이나 비밀번호 리셋 시키는 창에서 해당 취약점을 통해 높은 권한까지도 가질 수 있다고 설명했다.

여기서 인증 체계 단계에 있는 TokenID라고 불리는 인증 쿠키에 브루트포스 공격을 가하면 권한을 확대해 줄 수 있다. 이 쿠키는 SHA-1 해시 알고리즘(hash algorithm)를 기반으로 8글자 영문과 숫자 조합의 비밀번호를 하루 안에 해독할 수 있게 해준다. 이는 약 500달러 수준의 그래픽카드(GPU)만 있으면 가능하다.

위와 같은 인증 취약점은 수많은 취약점들 가운데 하나에 불과하다고 ERPScan의 알렉산더 폴리아코브(Alexander Polyakov) CTO가 말했다.

“피플소프트 애플리케이션 안의 있는 수많은 취약점들은 ‘대부분의 불안전한 인증 체계를 향상시키는 방법-초보편(How to Develop the Most Insecure Authentication Mechanism for Dummies)’라는 책을 보면 쉽게 배울 수 있다.”

그런데 문제는 앞서 말했듯, 500달러 정도가 드는 그래픽카드 같이 최소의 비용만을 들여 공격자가 중요한 정보를 탈취하고 변경할 수 있다는 점이다. 특히 피플소프트의 경우 주로 인사부서가 사용하는 시스템이다. 즉 다수의 직원들의 사회 보장 번호, 신용카드 정보, 은행 정보 등 과 같은 민감한 정보를 관리하고 있다는 것이다.

뿐만 아니라 피플소프트의 피플소프트 엔터프라이즈 서비스 오토메이션(PeopleSoft Enterprise Service Automation)이라는 소프트웨어는 전반적인 사업 자체를 통제할 수 있는 시스템인데 여기서도 취약점들이 적용될 수 있다. 특히 공정 단계에서 생산을 중단시킬 수도 있다. 또한 피플소프트 에셋 라이프사이클 매니지먼트(PeopleSoft Asset Lifecycle Management)의 경우 설비 모니터링 및 유지를 가능하게 하는 소프트웨어인데 마찬가지로 취약점이 있다는 사실이 드러났다.

때문에 티우린 부서장과 이알피스캔사은 해당 플팻폼의 호환성이 시스템을 오히려 악의 구렁텅이로 빠트릴 수 있다고 우려했다. 심지어 현재 피플소프트의 보안 상태는 SAP 보안 대비 5년은 뒤쳐져 있는 수준이라고 주장했다.

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 주소형 기자(sochu@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)