SAP데이터 암호화

기업이 사용하는 'ERP(Enterprise Resource Planning, 전사자원관리)'는 기업의 경영 및 관리를 위한 컴퓨터 시스템이다.

회사 내부 각 부문에 걸쳐 개별적으로 운영되던 각종 경영자원을 하나의 통합 시스템으로서 관리함으로써 생산성을 극대화하려는 경영혁신 장치다.

각 부서는 ERP를 통해 타 부서와 긴밀한 영향 관계를 주고 받으므로 기업 전체 시스템이 유기적으로 통합되어 종과 횡을 서로 잇는 흐름이 끊임없이 이어진다.

ERP는 데이터베이스에 기반해 기업의 여러 자원의 흐름을 처리하고 감시한다.

ERP 소프트웨어는 실로 다양하지만, 그 중에서도 'SAP(Systems, Applications, and Products in Data Processing)'는 해당 분야의 대표적 브랜드다. 

특히 대기업 수준의 큰 규모의 기업들이 SAP 소프트웨어를 사용한다. 

SAP를 통해 제조 개발 구매 마케팅 서비스 물류 유통 회계 등 업무를 통합 관리한다.

기업 활동에 있어 ERP가 차지하는 비중이 워낙 크다 보니 ERP 보안은 곧 기업보안 그 자체라 할 수 있다.

기업용 시스템은 기업 내부에서만 폐괘적으로 사용되므로 비교적 안전하다는 인식이 지배적이었지만, 웹 시대의 본격화 그리고 시스템이 계열 포함 전사적 통합 구축 방향으로 발전함에 따라 내·외부 구분은 사라졌다.

SAP 또한 CRM SCM SRM 등의 확장 패키지를 ERP 시스템과 연계 통합했다.

결과적으로 ERP 시스템의 보안 문제는 기술적 차원을 넘어 비즈니스 차원으로 확장된 셈이다.

SAP 데이터 암호화

ERP 내부에는 임직원 개인정보, 금융거래 기록, 영업기밀 등 중요한 정보들이 들어있다. 

이는 노출 시 기업의 존폐를 염려해야 할 정도로 중요한 기밀인 동시에, 정보 보호 관련 법규에 따라 필수적으로 암호화해야 하는 정보이기도 하다.

하지만 기업은 ERP 데이터를 섣불리 암호화하지 못하고 있다.

데이터 구조나 하부 시스템을 건드리기 어려운 고유 특성상 암호화 작업이 쉽지 않기 때문이다.

특히 SAP는 그 특성 상 데이터의 형식과 길이 등을 변경하는 일이 매우 까다로워 사실상 불가능하다.

따라서 데이터의 속성을 유지하는 동시에 보안성을 갖추는 일이 가장 심각한 문제이다.

SAP DB는

1) 초기에 정의된 Data Element을 이용해 표준화 및 가독성을 높이는 구조로 되어있다.

2) 지속적인 업데이트가 적용되어야 하는데, 허용된 범위를 벗어난 개발을 할 경우 업데이트가 어려울 수 있다.

3) 전사 자원을 통한 ERP시스템으로 실시간 처리가 필요하다. 따라서 SAP DB는 데이터 구조의 변경에 여러가지 제약을 가지고 있다.

SAP DB는 데이터 구조의 변경에 여러 가지 제약을 가지고 있다.

SAP의 정책 상 표준 기능에 영향을 미치지 않는 범위에서는 추가 기능 개발을 허용하긴 하나, 표준을 변경하는 작업은 권장하지 않는다.

예를 들어, 데이터 길이나 속성을 변경하거나 프로그램 코드를 변경할 경우 SAP동작에 있어 예기치 못한 문제가 발생할 수 있다. 그런 경우 유지보수의 부담을 회사가 감수해야 한다.

따라서 SAP는 일반적인 데이터 베이스 암호화가 아닌 다른 방식으로 접근해야 한다.

그리고 바로 그 접근방법이 바람직한 SAP 보안의 결정적 변수가 된다.

SAP 암호화 방식

Tokenization 방식

 신용카드 번호 CCN, 개인정보, 거래정보 등 높은 보안성을 요구하는 데이터만 따로 뽑아내 AES 등 일반적인 암호화 방식을 통한 보안용 DB에 저장하는 방식

 SAP 시스템 내부에서는 실제 데이터 대신에 '랜덤 토큰'으로 대체해서 사용하기 때문에 'Tokenization'이라 한다.

 별도 시스템 사이의 통신이 필수적이고 전체 시스템의 복잡도가 높아지고 따라서 성능에 영향을 미친다는 단점이 있다.

 무엇보다 데이터와 토큰을 1:1 매칭한 테이블이 존재하고 또 통신구간상 데이터가 오가야 한다는 점에서 근본적인 보안 허점이 있다고 볼 수 있다.

FPE: Format - Preserving Encryption 방식

 암호화 장치를 SAP 내부에 탑재하여 시스템과 유기적으로 연동하는 방식

 SAP 시스템 내부에서 동작하기 때문에 시스템 성능에 미치는 영향이 거의 없다.

 SAP데이터베이스에 있는 토큰 정보가 실재 정보이기 때문에 암호화 알고리즘과 암복호화 키관리, 사용자 인증 보안 등 일반적 보안성 유지가 매우 중요

 시스템 통합적 보안 플랫폼 규모의 설계가 가능한 FPE 암호화 전문기업의 제품을 사용해야 한다.

정리

 ERP보안은 매우 중요하다.

 SAP보안은 시스템 특성상 보다 까다로운 검토가 필요하다.

 빠른 성능과 높은 보안성을 동시에 추구해야 하는 상황에는 Tokenization 방식보다 FPE방식

SAP보안에 대해 통합적 이해를 갖춘 전문 보안 기업과의 긴밀한 협조가 필요하다.