2015.06.19

"SAP HANA내 기본 탑재된 암호화 키, 보안에 취약하다"... ERP스캔

Katherine Noyes | IDG News Service
SAP HANA의 새로운 업데이트 버전 발표에 바로 이어 한 보안 연구원이 이 인메모리 플랫폼에 잠재적인 심각한 취약점을 갖고 있다고 경고했다.

ERP스캔(ERPScan) CTO 알렉산더 폴랴코프는 "한 공격자가 이 취약점을 악용한다면 SAP HANA 데이터베이스 내에 저장된 암호화된 데이터 전부에 접속할 수 있다"고 말했다.

폴랴코프는 18일 네덜란드에서 개최된 블랙햇 세션 XIII 컨퍼런스에서 상세하게 밝혔다.

ERP스캔은 오라클과 SAP와 같은 업체들의 ERP(enterprise resource planning)를 보안을 목적으로 테스트하는 전문업체다. 지난해 이 업체는 SAP HANA 설치 부문이 SQL 인잭션(SQL injection) 공격에 취약할 수 있다는 점을 발견한 바 있다.

폴랴코프는 "우리의 목적은 더많은 데이터에 접속할 수 있다면 회사 내 다른 서버에서도 그럴 수 있다는 걸 이해시키는 것"이라고 말했다.

폴랴코프는 "그들은 일반적으로 HANA 시스템에서 동일한 기본 탑재 키를 사용, 저장하기 때문에 사용자 비밀번호와 루트 키(root keys)와 같은 정보에 접근할 수 있는 방법을 발견했다. 이는 해커들에게 쉽게 접속할 수 있는 경로로 이용될 수 있다"고 말했다.

폴랴코프는 "이 키는 관리자들이 이를 변경하지 않는 한 모든 설치에 있어 동일하다"면서, "우리는 두어 번의 침투 테스트 이후 아무도 이 키를 변경하지 않는다는 것을 발견했다"고 설명했다. 이와 같은 문제는 SAP 모바일 플랫폼에도 존재한다고 덧붙였다.

특히 모든 설치에서 설정 파일 내에 저장된 애플리케이션 비밀번호는 기본 탑재 키와 함께 암호화됐다.

폴랴코프는 "HANA 내 SQL 인잭션 취약점은 이미 패치됐다. 추가적으로 SAP는 자체 가이드라인과 보안 권고안에서 마스터 키는 반드시 변경해야 한다고 규정한다"고 전했다. "그러나 불행히도 아주 일부 고객만이 이 권고안을 따른다"고.

ERP스캔은 공식성명에서 "SAP는 자체 제품의 보안성을 위해 ERP스캔을 포함한 외부 업체와 함께 아주 밀접하게 일한다"고 밝혔다.

또한 "우리 고객 모두에게 권고하는 것은 SAP HANA 보안 가이드에 있는 경고를 따르라는 것이며 우리 제품들에서 이슈가 된 고정적인 마스터키를 변경하라는 것"이라고 전했다.

소프트웨어에서 기본 탑재된 비밀번호를 그대로 사용하는 일들은 흔히 있는 일이다. 현재 우리는 기본 값을 가진 암호화 키에 대한 문제를 제시하는 것이다.

폴랴코프는 "결국, 벤더들은 기본 키를 변경해야 하는 이유가 담긴 160 페이지짜리 문서를 놓아두는 것보다 사용자에게 설치하는 동안 보안 키를 기입하는 옵션을 제공하는 것이 나을 것이다"고 덧붙였다. editor@itworld.co.kr


2015.06.19

"SAP HANA내 기본 탑재된 암호화 키, 보안에 취약하다"... ERP스캔

Katherine Noyes | IDG News Service
SAP HANA의 새로운 업데이트 버전 발표에 바로 이어 한 보안 연구원이 이 인메모리 플랫폼에 잠재적인 심각한 취약점을 갖고 있다고 경고했다.

ERP스캔(ERPScan) CTO 알렉산더 폴랴코프는 "한 공격자가 이 취약점을 악용한다면 SAP HANA 데이터베이스 내에 저장된 암호화된 데이터 전부에 접속할 수 있다"고 말했다.

폴랴코프는 18일 네덜란드에서 개최된 블랙햇 세션 XIII 컨퍼런스에서 상세하게 밝혔다.

ERP스캔은 오라클과 SAP와 같은 업체들의 ERP(enterprise resource planning)를 보안을 목적으로 테스트하는 전문업체다. 지난해 이 업체는 SAP HANA 설치 부문이 SQL 인잭션(SQL injection) 공격에 취약할 수 있다는 점을 발견한 바 있다.

폴랴코프는 "우리의 목적은 더많은 데이터에 접속할 수 있다면 회사 내 다른 서버에서도 그럴 수 있다는 걸 이해시키는 것"이라고 말했다.

폴랴코프는 "그들은 일반적으로 HANA 시스템에서 동일한 기본 탑재 키를 사용, 저장하기 때문에 사용자 비밀번호와 루트 키(root keys)와 같은 정보에 접근할 수 있는 방법을 발견했다. 이는 해커들에게 쉽게 접속할 수 있는 경로로 이용될 수 있다"고 말했다.

폴랴코프는 "이 키는 관리자들이 이를 변경하지 않는 한 모든 설치에 있어 동일하다"면서, "우리는 두어 번의 침투 테스트 이후 아무도 이 키를 변경하지 않는다는 것을 발견했다"고 설명했다. 이와 같은 문제는 SAP 모바일 플랫폼에도 존재한다고 덧붙였다.

특히 모든 설치에서 설정 파일 내에 저장된 애플리케이션 비밀번호는 기본 탑재 키와 함께 암호화됐다.

폴랴코프는 "HANA 내 SQL 인잭션 취약점은 이미 패치됐다. 추가적으로 SAP는 자체 가이드라인과 보안 권고안에서 마스터 키는 반드시 변경해야 한다고 규정한다"고 전했다. "그러나 불행히도 아주 일부 고객만이 이 권고안을 따른다"고.

ERP스캔은 공식성명에서 "SAP는 자체 제품의 보안성을 위해 ERP스캔을 포함한 외부 업체와 함께 아주 밀접하게 일한다"고 밝혔다.

또한 "우리 고객 모두에게 권고하는 것은 SAP HANA 보안 가이드에 있는 경고를 따르라는 것이며 우리 제품들에서 이슈가 된 고정적인 마스터키를 변경하라는 것"이라고 전했다.

소프트웨어에서 기본 탑재된 비밀번호를 그대로 사용하는 일들은 흔히 있는 일이다. 현재 우리는 기본 값을 가진 암호화 키에 대한 문제를 제시하는 것이다.

폴랴코프는 "결국, 벤더들은 기본 키를 변경해야 하는 이유가 담긴 160 페이지짜리 문서를 놓아두는 것보다 사용자에게 설치하는 동안 보안 키를 기입하는 옵션을 제공하는 것이 나을 것이다"고 덧붙였다. editor@itworld.co.kr


X