SAP코리아, 코드취약점 분석툴 보안 인증 획득
SAP코리아(대표 신은영)는 보안 분야 협력사인 인스피언, 빅스피어와 함께 SAP 코드 취약점 분석(SAP CVA) 솔루션에 대한 보안기능 확인서 인증을 획득했다고 11일 밝혔다. SAP 코드 취약점 분석 솔루션은 이번 보안기능 확인서 인증 획득으로 '국가용 보안요구사항'을 만족하는 등 안전성을 검증받았다. SAP CVA는 SAP 전사적자원관리(ERP) 솔루션 프로그래밍 언어인 ABAP 전용 소스코드 보안취약점 분석 도구다. SAP 코리아는 보안기능 확인서 인증 획득을 통해 보다 많은 공공기관이 ABAP 전용 소스코드 보안약점 분석도구를 도입하고 각 공공기관에 최적화된 프로그램에 대한 보안 취약성을 개선할 수 있도록 지원한다는 방침이다. SAP코리아와 인스피언, 빅스피어는 보안기능 확인서 인증 획득을 위해 지난 6월부터 공동으로 한국기계전기전자시험연구원에서 실제 환경을 구현해 제품 평가와 시험을 수행했다. 보안적합성 검증은 공공기관에서 보안관련 장비나 소프트웨어를 도입하기 위해 반드시 필요한 절차다. 국가정보통신망의 보안 수준 제고를 위해 국가∙공공기관이 도입하는 정보보호시스템, 네트워크 장비 등 보안기능이 탑재된 IT 제품 및 저장자료완전삭제 제품의 안전성을 검증하는 제도다. 기존 C언어와 자바 언어만 성능평가 대상으로 한정했던 조건을 2020년부터 완화해 보안적합성 검증의 대상 개발 언어를 확대했다. 정보통신망의 보안대책 수립, 시행을 의무화하고 있는 전자정부법 제56조를 준수하려면 공공기관이 운영하고 있는 프로그램 언어별로 취약성을 진단 및 분석할 수 있는 소스코드 보안약점 분석도구를 구비해야 한다는 국가정보원의 의견에 따라, 공공기관에서는 향후 프로그램 언어별로 보안적합성 검증을 획득한 소스코드 보안약점 분석도구의 도입이 반드시 필요하다. 국내 주요 공기업은 2000년대 초반부터 SAP ERP 솔루션을 도입하여 운영하고 있다. SAP ERP 솔루션에 대해서는 SAP가 본사 차원에서 보안 취약성 관련 모든 테스트와 검증을 완료한 후 출시하고 있다. SAP ERP 솔루션에서 제공하지 않는 고객사별 특화된 기능을 구현하기 위해서 ABAP이라는 프로그래밍 언어로 추가 기능을 개발해 사용하지만, 인증된 분석도구가 없어 추가 개발된 프로그램에 대한 소스코드 보안약점 분석이 완벽하게 이루어지고 있지 않았었다. 현재 SAP CVA는 한국수력원자력, 한국지역난방공사, 한국서부발전 등에서 도입 및 운영 중이며, 도입 이후 보안취약성 개선에 현저한 성과를 거두고 있다. 윤상일 SAP 코리아 공공·금융·서비스 본부장은 “SAP 솔루션에 대한 보안기능 확인서 인증을 바탕으로 공공 및 국가기관이 더욱 안전하게 SAP ERP 제품을 운영할 수 있도록 지원하게 돼 매우 기쁘다”며 “SAP 코리아는 인스피언, 빅스피어와 함께 더욱 많은 기관이 안전하게 SAP 솔루션을 활용할 수 있도록 최선의 노력을 다할 것”이라고 강조했다.