최신 ERP 보안 기능은 날로 진화하며 개선되고 있습니다. 그런데도 왜 기업은 더 많이 노출되고 있다고 느낄까요? 부분적으로 이는 디지털 및 클라우드 기술의 급격한 가속화 때문입니다. IDC는 2025년까지 IoT 기기의 수가 300억 대 이상으로 치솟을 것이며 계속해서 기하급수적으로 증가할 것으로 예상하고 있습니다. 이러한 장치는 대부분 기업의 산업용 사물인터넷(IIoT) 네트워크의 일부이며, 그런 만큼 데이터를 중앙 ERP 시스템에 공급합니다. 오늘날, 최신 클라우드 ERP는 대부분의 기업에서 핵심적인 역할을 하며 비즈니스 운영 전체를 단일 시스템으로 통합할 수 있도록 돕습니다. 하지만 이와 같은 핵심 기능은 수많은 중요 정보에 대한 원스톱 포털이 되어 사이버 보안을 취약하게 할 수 있습니다.

최신 ERP 및 소프트웨어 보안의 당면과제

사이버 보안에 대한 기존의 접근 방식으로는 이제 충분하지 않습니다. 특정 IT 자산 또는 데이터베이스와 관련해 보안 경계선을 구축해 액세스를 제한하고 통제한다는 아이디어는 클라우드 연결 에코시스템에서는 효과적이지 않습니다.

클라우드 ERP 환경에서 조직이 퍼블릭 클라우드 사업자와 점차 더 많은 책임을 공유하게 되며 보안에 대한 접근 방식을 재고하고 있습니다. 따라서 인프라보다는 애플리케이션 측면의 책임에 더 많이 집중하고 있습니다.

랜섬웨어와 피싱 공격은 문제가 급속도로 커지고 있음을 보여줍니다. ERP가 더 많은 부서에서 통합되며 액세스 권한을 가진 사용자가 더욱 늘어나게 되었고, 이는 해커들에게 있어 피싱의 먹잇감으로 선택할 수 있는 대상이 풍성해졌음을 의미합니다. 또한 운영 ERP 통합이 더욱 폭넓게 이루어졌다는 것은 ERP 내에 포함된 취약 데이터의 범위와 종류가 더 늘어났다는 뜻이며, 해킹 대상으로서의 가치가 높아집니다. 또한 기존 ERP 시스템을 가지고 새로운 부서로 ERP 통합을 확장하려는 시도로 추가적인 사용자 정의 코딩이 필요하게 되며 잠재적인 공격 표면을 증가시키는 역할을 하게 되기도 합니다. 즉, 더 많은 곳에서 취약한 부분이 더 많아졌습니다. 이는 외부 액세스 지점이 필요한 원격 및 긱 근로자가 증가하며 한층 복합적인 문제가 되었습니다.

사이버 범죄자는 훔치고 갈취하는 것뿐 아니라 필수적인 시스템을 폐쇄하고 운영 전체를 중단시킬 수도 있습니다. 대규모 조직(특히 재무 및 보험, 제조, 비즈니스 서비스, 의료 부문)은 오랫동안 이들의 목표 대상이었지만, 중소중견기업은 보안 리소스 및 전문성의 부족으로 점차 더 많은 공격을 받고 있습니다.

사이버 범죄자가 대상으로 삼는 ERP 데이터의 종류는?

해커는 다양한 이유로 온갖 종류의 데이터를 훔칩니다. 그러나 대다수의 경우, 기업 사이버 범죄자는 희생양이 된 기업을 갈취하거나 사기를 자행하여 가장 빠르게 현금화할 수 있는 ERP 데이터 등의 데이터를 쫓는 경우가 많으며, 그 외에는 훔친 데이터에 나와 있는 고객 또는 개인에게 피해를 줍니다. 이는 신용카드 정보 유출이나 현금 이체를 통해 자금에 직접 접근하려는 시도로 이어질 수 있습니다. 하지만 재무 및 ERP 데이터베이스가 최고 수준의 보안을 유지하는 경우가 많아 해커들은 더욱 접근하기 쉬운 다른 유형의 데이터에 접근하여 막대한 손해를 입히고 있습니다.

기업이 경험하게 되는 추가적인 위험은 수익, 평판, 고객에 대한 피해 발생 외에도 도난당한 데이터에 정보가 들어 있는 개인이 제기한 집단 소송으로 인한 위험입니다. 도난당한 데이터에 고객의 민감한 개인, 법률, 의료 정보가 포함된 경우, 소송으로 인한 손해는 회복할 수 없는 수준이 될 수 있습니다.

7대 ERP 보안 이슈와 해결 방안

1. 노후된 소프트웨어

최고의 ERP 사업자는 끊임없이 새롭게 등장하는 보안 리스크와 싸우고 있습니다. 새로운 리스크가 확인되는 즉시 보안 패치가 개발되어 고객에게 배포됩니다. 과거에 일부 기업은 장기간 이러한 업데이트 구현을 무시하거나 지연시켜 시스템을 취약하게 만들었습니다. 수많은 커스터마이징과 보안을 위한 해결책을 거쳐온 노후된 ERP 시스템 역시 패치 구현을 더욱 관리하기 어렵게 만드는 사례 중 하나입니다.

해결 방안: 새로운 위협이 계속해서 등장하기 때문에 중단 및 다운타임 리스크에도 불구하고 업데이트 및 보안 패치를 정기적으로 구현해야 합니다. 온프레미스 ERP에 패치와 업데이트를 적용하려면 보안과 관련성이 가장 높은 패치와 업데이트의 우선순위를 결정하는 리스크 기반의 접근 방식이 필요하며, 간편하거나 중단 없는 프로세스는 아니더라도 리스크를 완화하는 데 중요한 역할을 합니다. 이는 하이브리드 ERP 환경을 보유한 기업의 경우에도 해당됩니다.

클라우드 ERP 소프트웨어를 통해 패치 배포 및 구현은 서비스 사업자가 비즈니스에 아무런 지장을 주지 않고 원활하게 진행할 수 있게 됩니다. 또한 클라우드 ERP 배포와 함께 제공되는 자동화된 패치 관리는 계속해서 변화하는 규제준수 및 거버넌스 규칙을 준수할 수 있도록 도움을 제공합니다.

2. 사용자 권한 문제

오늘날의 비즈니스 환경에서 HR과 IT를 비롯한 여러 팀 관리자는 신규 사용자를 최대한 빠르게 준비시켜 투입해야 한다는 압박을 받고 있습니다. 이에 따라 ERP 인증을 배포하거나 직원 퇴사로 인해 인증을 비활성화할 때 엄격한 관리가 이루어지지 못하는 사태가 발생하고 있습니다. 기존 ERP 시스템은 인증 기능이 오래되고 인증을 지원하는 자동화된 워크플로가 없어서 이러한 상황에서 큰 위험에 놓이게 되는 경우가 많습니다.

해결 방안: 최신 ERP 시스템은 기본적인 프로비저닝 및 인증 기능과 정교하지만 사용하기 편리한 워크플로를 비롯하여 리스크까지 염두에 두고 구축됩니다. 또한 비즈니스는 ID 액세스 거버넌스 툴을 사용하여 보다 광범위한 엔드투엔드 보안을 구현할 수 있습니다.

3. 부적절한 보안 교육

공식 피싱 정책과 함께 교육 메모를 회람하는 일은 팀 전체와 함께 정기적으로 대화형 학습 세션을 조율하는 일과는 다릅니다. 실제로 최근 설문조사에서 현재 시행하는 교육 방식이 피싱 리스크를 제거하기에 충분하다고 느낀 조직의 78%가 직원의 31%가 기본적인 피싱 테스트를 통과하지 못했다는 사실에 크게 놀랐습니다. 취약한 비밀번호, 피싱 전문 지식의 부재, 보안 프로토콜에 대한 잘못된 이해도로 인해 제아무리 충실하고 성실한 직원조차도 자신도 모르게 비즈니스를 위험에 처하게 할 수 있습니다.

해결 방안: 많은 직원이 자신의 무고한 행동이 어떤 방식으로 리스크나 손해를 야기할 수 있는지에 대한 인식이 매우 부족합니다. 잘못된 사람들에게 사이버 보안 교육을 맡기지 말고, 사이버 보안 관련 의제를 다른 사항보다 우선순위를 낮게 두지 마세요. 전문가와 협력하여 비즈니스 전반에서 리스크 감사를 수행하여 가장 취약한 보안 링크가 어디 숨어있는지 확인합니다. 팀 리더와 협력하여 특정 요구사항을 해결할 수 있는 정기적인 교육 계획을 구축합니다. 각 부서에 대해 테스트 일자, 인증서 갱신, 재교육 과정과 관련한 일정을 자동화합니다.

4. 숙련된 ERP 보안 인력 부족

기존 ERP 소프트웨어를 운영하는 비즈니스의 경우 IT 팀이 ERP 보안과 관련한 구체적인 수많은 리스크를 완전히 파악해야 하며, 최고 수준의 보안 관행을 실행하고 구현할 수 있어야 합니다. 이러한 관행에는 위협 식별, 취약성 스캔 및 침투 테스트 시행, 사고 대응 계획 작성, 노후된 시스템에 최신 사이버 보안 관련 모니터링 툴 통합 등이 있습니다. 오늘날의 기업 환경에서는 숙련된 전문가를 찾고 유지하기도 어려울뿐더러 순식간에 개발되는 디지털 보안 기술에 맞춰 IT 팀에 필요한 다양한 교육 세션을 제공하는 것 역시 비용과 시간이 많이 듭니다.

해결 방안: 클라우드 ERP는 이와 같은 우려가 점차 커지는 상황에서 큰 안도감을 줍니다. 연중무휴 모니터링이나 재해 복구와 같이 중요한 보안 기능은 모두 클라우드에서 벤더를 통해 원활하게 처리됩니다. 또한 패치 관리, 테스트, 업그레이드와 같은 많은 시간이 소요되는 일상적인 IT 업무 또한 클라우드에서 자동화되어 눈에 띄는 중단 없이 진행됩니다.

5. 보안 및 거버넌스 표준 준수 불이행

ERP 시스템이 더 많은 부서에서 통합되면서, 취약한 데이터의 범위도 보안 제품 정보, 의료 기록, 지적 재산 등으로 점차 다양해지고 있습니다. 민감한 데이터일수록(재무, 의료 또는 법률 데이터 등) 자체적인 보안 및 저장 프로토콜이 갖춰져야 합니다. 이러한 프로토콜을 인지하거나 준수하지 못하면 관련 데이터의 침해뿐 아니라 미준수에 대해 처벌 및 법적 영향을 받을 수 있습니다.

해결 방안: 오늘날, 최신 데이터베이스를 갖춘 최고의 ERP는 폭넓은 데이터 유형에 대한 다양한 규제 준수 프로토콜의 중앙집중화된 자동화와 제어를 가능하게 합니다. 즉, IT 팀이 비즈니스 전반에서 주제 전문가와 협력하여 초기에 올바른 보안 표준을 확립하고, 이후 시스템과 사용자 대시보드를 자동화하여 향후 올바른 프로토콜을 준수하도록 할 수 있습니다.

6. 1단계 인증

1단계(단일 비밀번호 또는 패스코드)만으로는 충분하지 않습니다. 오늘날 대다수의 기업이 이러한 사실을 이미 알고 있지만, 40%가 넘는 조직이 여전히 모든 잠재적 ERP 진입점에 대해 2단계 인증을 사용하지 못하고 있습니다. 즉, IoT 장치나 부서 애플리케이션과 같은 다른 커넥티드 기기가 1단계 비밀번호로 취약한 상황에서 가장 중요한 데이터를 2단계(2FA) 인증으로 보호하는 것은 크게 의미가 없습니다.

해결 방안: 모든 규모의 기업이 즉시 모든 잠재적 ERP 진입점에서 2FA 프로토콜(보안 토큰, 생체 인식 스캔 등)을 반드시 시행해야 합니다. 이는 매우 중요하지만 간단하면서도 비용이 적게 드는 해결 방안입니다.

7. 데이터 내보내기

공식적인 프로토콜에도 불구하고 사용자는 데이터를 스프레드시트에 작성하거나 다른 형식으로 저장하는 것을 선호하며, 이러한 데이터 내보내기 리스크는 비즈니스에 여전한 문제가 되고 있습니다.

해결 방안: 기업은 엑셀 다운로드를 차단하거나 데이터베이스 내에서 사용자 작업을 추적하여 이러한 문제를 어느 정도 통제할 수 있습니다. 하지만, 결국 데이터 내보내기를 보호하는 가장 좋은 방법은 취약한 데이터에 접근할 수 있는 인력의 수를 제한하는 것입니다. 최신 ERP를 통해 부서 책임자는 누가 무엇을 볼 수 있는지, 어떤 데이터 세트 요소에 액세스하고 확인할 수 있는지를 쉽게 결정하고 설정할 수 있습니다. 그리고 기존 시스템과 달리 클라우드 ERP는 알림을 전송하고 다운로드나 데이터 내보내기 등 승인되지 않은 명령을 막기 위해 자동화할 수 있는 통합 보안 기능을 갖추고 있습니다.

사이버 ERP 보안 선진사례

우리가 논의한 다양한 문제와 해결책은 사이버 범죄 세계에서 인적 자원과 기술 자원 최적화를 위한 보다 폭넓은 보안 전략과 관련이 있습니다. 클라우드 ERP 보안 기능과 관련한 여러 서비스와 이점을 최대한 활용하는 데 도움이 되는 선진사례의 기본 사항을 아래에서 추가로 확인하세요.

• 비즈니스 연속성, 재해 복구, 가동 시간 기능을 위한 서비스 수준 계약을 체결합니다. 클라우드 기반의 툴은 이러한 계약을 글로벌 운영 전반에 걸쳐 한곳으로 통합하고 업데이트를 자동화합니다.
• 하이퍼스케일러. 제3자 감사를 수행합니다. 이와 같은 독립적인 제3자 감사는 모든 단계에서 비즈니스 간 규제준수를 보장하고 사이버 보안 성숙도 모델 인증(Cybersecurity Maturity Model Certification, CMMC) 및 제로 트러스트 노력 등을 지원하는 데 필수적입니다.
• ERP 보안 관행과 관련된 모든 팀에 대해 프로세스, 프로토콜, 프로젝트 관리 강화에 집중하고 모든 데이터를 암호화합니다. 패치 관리, 보안 구성, 취약성 스캔, 위협 관리 분야에서는 특히 중요합니다.
• 세계적인 수준의 외부 사이버 보안 전문가에게 필요한 컨설팅 투자를 통해 팀 전체가 리스크 완화 측면에서 각자의 역할과 책임을 명확하게 파악할 수 있도록 합니다.
• 비즈니스 전반에 연중무휴 모니터링 및 사전 예방적 보안 관리를 시행하여 사고 대응력을 개선합니다. 여기에는 ERP 및 해커가 접근할 수 있는 그 외 시스템, 기기 또는 IoT 자산이 모두 포함됩니다.
• 도메인 기반의 ERP 테스트 접근 방식을 사용하여 일관되고 복제 가능한 테스트 프로세스를 제공하고 공격 표면 전체에서 가장 흔한 액터 벡터를 처리합니다.

ERP 보안 개선을 위한 다음 단계

사이버 범죄는 우리 모두에게 영향을 미치며, 기업이 사이버 범죄와 싸우고자 한다면, 반드시 다방면으로 접근해야 합니다. 클라우드 ERP 기술은 기업에게 강력하고 효과적인 방어책을 마련하고 자동화할 수 있는 통합된 기반을 제공하므로 좋은 출발점이 됩니다.

하지만 결국 사이버 보안 노력은 사람에서 시작하고 사람으로 끝나게 됩니다. 팀 리더와 직원은 솔루션의 일부이지만, 이를 스스로 이해하기를 기대할 수는 없습니다. ERP 사이버 보안 여정의 첫 단계는 관심을 보이는 전문가, 실습형 학습, 실용적이며 시각적인 강의 계획, 사이버 범죄가 발생했을 때 어떤 일이 벌어지는지에 관한 실제 예제를 포함하는 커뮤니케이션 및 교육 계획을 구축하는 것입니다. 구체적인 교육 및 인증 방안도 중요하며, 관련 주제에 대한 전반적인 인식과 관심을 끌어올리는 데 좋습니다.

디지털 보안은 현재 우리 모두의 삶에서 매우 중요한 부분을 차지하고 있습니다. 사이버 보안에 관한 학습이 보다 흥미롭고 즐거운 경험이 되어야 하는 이유가 바로 여기에 있습니다.