Offcanvas

검색|인터넷 / 보안 / 악성코드 / 애플리케이션 / 이직|채용

SAP e-리크루팅, 사이버보안 침해 노출 가능성 '경고'

2017.07.25 Samira Sarraf   |  ARN
SAP의 웹 기반 e-리크루팅 애플리케이션이 사이버보안 침해에 노출될 수 있는 것으로 나타났다.



SAP의 오랜 협력사인 바우브릿지소프트웨어(Bowbridge Software)가 SAP e-리크루팅 애플리케이션으로 임의의 테스트를 실행한 애플리케이션을 보호하기 위한 적절한 보안 조치가 채택되고 있는지 확인했다.

중요한 결과 중 하나는 테스트된 시스템의 52%가 악성코드 업로드를 막지 못했다. 바우브릿지소프트웨어는 세 가지 중요한 영역인 전송 계층 보안, 등록 프로세스, 첨부 파일 업로드를 테스트했다.

e-리크루팅 개인 데이터를 수집하며 테스트한 구현 중 81%가 기본적으로 SSL 암호화를 사용한다는 사실이 밝혀졌다. 그러나 테스트된 사이트 중 30% 이상이 URL 프로토콜을 https : //에서 http : //로 변경하여 SSL 암호화를 우회할 수 있었다.

심화 테스트를 거친 시스템 가운데 사용자가 전자메일 주소를 확인하도록 요구해 이러한 포털을 쉽게 목표로 삼은 경우는 12% 미만이었으며, 시스템의 38%는 암호가 길이 또는 복잡성에 대한 최소 요구 사항을 충족해야 했다.

약 60%의 시스템이 업로드가 허용된 파일 유형에 대한 제한을 사용자에게 알리고, 포털의 30%는 애플리케이션에서 허용하는 파일 유형에 대해 어떠한 필터링이나 제한도 구현하지 않았다.

결과에 따르면, 이는 애플리케이션과 사용자의 1/3이 광범위한 파일 기반 위협에 노출되어 있음을 의미한다.

바우브릿지소프트웨어 테스트한 시스템의 60% 이상은 허용된 확장 목록에서 확장자가 변경되면 즉시 임의의 파일을 업로드할 수 있었다.

자바스크립트가 내장된 HTML 업로드를 통한 침해도 드러났으며 31%의 시스템에서 일반 자바스크립트 파일을 업로드할 수 있었다.

또한 자바 아카이브(.jar 파일), 플래시, 실버라이트, 이전 형식의 매크로가 있는 오피스 문서(CDF, 프리오피스(preOffice) 2007) 및 새 형식의 매크로가 있는 문서(OOXML)를 업로드할 수 있는 시스템도 발견됐다.

바우브릿지 CTO 예르크 슈나이더-시몬은 "e-리크루팅 애플리케이션만 테스트했지만 회사가 사용하는 모든 웹 기반 SAP 애플리케이션에 이러한 결과를 확실히 적용할 수 있다"며 “SAP 애플리케이션의 보안을 유지하지 못하면 비즈니스는 데이터뿐 아니라 미래에도 엄청난 위험을 감수하고 있다"고 밝혔다.

슈나이더-시몬은 전해 방해받지 않고 모든 테스트를 수행했다고 고객에게 강조했다.

슈나이더-시몬은 "공격 스크립트는 사용되지 않았고 실제 시스템에 어떤 악성코드도 업로드되지 않았으며 업로드된 테스트 파일도 시스템에서 제거되었다"고 설명했다. 이어서 "후보 등록이 필요한 시스템에서는 시스템이 허용하는 경우 테스트가 완료된 후 더미 후보 프로파일이 삭제되었다"고 덧붙였다.

한편 SAP는 레오나르도 라이브(Leonardo Live) 행사에서 인공지능의 노력이 아직 초기 단계에 있으며 전 세계의 40%의 업무를 자동화할 수 있다고 전했다. ciokr@idg.co.kr
 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.