SAP ITGC 감사는 전반적인 인프라(OS, DB) 부터 SAP 어플리케이션까지 대상이 된다.
따라서, 여러 제반사항에 대해서 미리 준비를 해두어야 하며, 단순히 수검 목적이 아니더라도 관리자 입장에서 시스템의 취약점을 파악하고 보완해야 한다.
아래에서는 여러 점검사항에 대해서 기록하며, 나아가 여러 모니터링 문서에 대해서도 서술한다.
해당 포스트에서는 점검 항목에 대해서만 나열한다.
점검 방법이나 명령어에 관련해서는 다음 포스트를 참조하기 바란다.
1. DB
1-1. DBMS 접근제어 관리
✅ SAP DB 의 DBMS 접근 관련하여 허가된 사용자만 접속할 수 있는지 확인
Oracle 의 경우, 여러 DB Tool 을 통한 SAP DB 접근 확인
SAP HANA 의 경우, HANA Studio, HANA Cockpit, ADT(Eclipse) 를 통한 접근 확인
보통의 경우 별도의 3rd Party 솔루션을 사용하여 접근제어를 한다.
ex) Oracle - Chakra Max, Oracle Database Vault 등등
HANA - ...
1-2. DB 패스워드 정책 확인
✅ SAP DB 패스워드 정책 확인
기본적으로 회사내 보안 정책 또는 내규에 따라 DB 패스워드 정책이 올바르게 설정되었는지 확인한다.
1-3. 신규 DB 계정 확인
✅ 신규 DB 계정 생성 여부 확인
대상 기간 내, DB 내의 신규 계정 생성 확인 및, 해당 계정 생성에 대한 승인 문서 확인
1-4. DB 슈퍼유저 확인
✅ DB 슈퍼유저 리스트 확인 및 모니터링
여기서 슈퍼유저란, 통상적으로 Admin 관련 권한을 보유한 계정들이며, DB 종류에 따라 다르다.
해당 유저들의 리스트 확인 및 접속이력을 확인한다.
대상 기간내, 기본 슈퍼유저 외에 신규 슈퍼유저가 있다면, 신규 슈퍼유저 권한 보유 사유 및 승인 문서 확인
1-5. DB 패치 이력 확인
✅ DB 패치 이력 확인
대상 기간 내, DB 패치 이력 및 승인 문서 확인
2. OS
2-1. OS 접근제어 관리
✅ SAP DB/AP 서버의 OS 접근 관련하여 허가된 사용자만 접속할 수 있는지 확인
SAP DB/AP 서버의 OS TCP Wrapper (hosts.allow, hosts.deny 등등) 확인 및 미허가 사용자 접속 이력 확인
별도 3rd Party 솔루션 사용 시, 해당 솔루션 이외에 OS 접근이 불가능한 TCP Wrapper 확인 및 실제 접속이 불가능한지 Negative Test
2-2. OS 패스워드 정책 확인
✅ SAP OS 패스워드 정책 확인
기본적으로 회사내 보안 정책 또는 내규에 따라 OS 패스워드 정책이 올바르게 설정되었는지 확인한다.
2-3. 신규 OS 계정 확인
✅ 신규 OS 계정 생성 여부 확인
대상 기간 내, OS 내의 신규 계정 생성 확인 및, 해당 계정 생성에 대한 승인 문서 확인
2-4. OS 슈퍼유저 확인
✅ OS 슈퍼유저 리스트 확인 및 모니터링
기본적으로는 다음 사항을 확인하며, 대상 기간 내, 변경 사항이 있다면 그에 대한 승인 문서 확인
- root 계정의 직접 접속 차단 여부
- root 계정 접근 이력 확인
- su 명령어 제한 여부
- wheel 그룹에 포함된 계정 확인
2-5. OS 패치 이력 확인
✅ OS 패치 이력 확인
대상 기간 내, OS 패치 이력 및 승인 문서 확인
3. SAP
3-1. 각종 모집단 자료 확인
✅ 본감사 시, 제출해야 하는 여러 모집단 자료에 대해서 간단 확인
해당 모집단 자료 제출 후, 모집단 크기 및 대상 기간에 따라 샘플링 수가 정해지며, 해당 샘플링 자료에 대해서만 증빙을 제출하면 된다.
따라서, 보통 준비 단계에서는 대상 기간내 데이터가 존재하는지, 누락 데이터가 없는지, 특이사항은 없는지 정도만 확인하면 된다.
- 계정 생성/삭제 이력
- 권한 부여/회수 이력
- 슈퍼 유저 권한(SAP_ALL/SAP_NEW) 부여/회수 이력
- CTS 이관 이력 (STMS History, Table E070)
- 배치잡 수행 이력 (Table TBTCO)
- 데이터 변경 이력 (Table SE16N_CD_KEY)
3-2. 운영환경 변경 제한 설정 확인
✅ SCC4, SE06 설정 확인
운영환경 광역 변경 제한 설정에 대해서 다음 항목을 확인한다.
- SCC4 운영클라이언트 변경 제한 설정
- SCC4 변경 이력 및 Last Change Date 체크
- SE06 시스템 변경 옵션 제한 설정
- SE06 변경 이력 체크 (상단 메뉴탭 Extras -> display log)
3-3. 운영환경 분리 여부 확인
✅ Transport Routes 확인 및 최종 변경 일자 확인
대상 기간 내, 변경이 있다면 승인 문서 확인
3-4. SAP 패치 이력 확인
✅ Table PATCHHIST 확인
대상 기간내, 패치 이력이 있다면 승인 문서 확인
3-5. SAP 패스워드 정책 확인
✅ Program RSPARAM 패스워드 정책 확인 (Profile)
아래 파라미터가 회사 내 보안 정책 및 내규에 따라 올바르게 설정되었는지 확인
- login/failed_user_auto_unlock
- login/fails_to_user_lock
- login/min_password_diff
- login/min_password_digits
- login/min_password_letters
- login/min_password_lng
- login/min_password_lowercase
- login/min_password_specials
- login/password_expiration_time
- login/password_history_size
- rdisp/gui_auto_logout
- login/no_automatic_user_sapstar
3-6. SAP Default 계정 확인
✅ Program RSUSR003 수행 및 확인
SAP Default 계정의 패스워드 확인
3-7. 로그 확인
✅ Audit Log, SysLog 확인
Security Audit (Tcode SM19) 이 설정되어있다면, 대상 기간내, Audit Log (Tcode SM20) 조회 여부 확인 및 특이 사항 점검
또한 SysLog (Tcode SM21) 대상 기간 내, 데이터 조회 여부에 대해서 확인해봐야 한다.
SysLog 의 경우, 기설정된 로그파일 크기를 넘어서게 된다면, 앞에서부터 덮어쓰기 때문에 충분한 파일 크기 설정을 해두어야 로그 손실을 막을 수 있다.
3-8. 주요 핵심 권한 보유자 확인
✅ 일부 주요 핵심 권한 보유자에 대해서, 사전에 확인
아래와 같은 핵심 권한에 대해서, 사전에 권한 보유자를 확인한다.
- SAP_ALL, SAP_NEW
- CTS Import 권한
- SU01, SU10, OVZ6, OOUS, PFCG 등등 유저 제어 Tcode
- SM30, SM31 Tcode
- SCC4, SE06 Tcode
- 디버깅 수정 권한
위 권한은 대표적인 권한이며, 더 많은 핵심 권한과 자세한 조회조건은 내용은 아래 포스트를 참조하기 바란다.
4. SAP 모니터링 문서
상기 준비사항 이외에도, 특정 기간(월/분기/반기/년) 마다 작성해야하는 모니터링 문서들이 있다.
해당 모니터링 문서는 주기적으로 시스템을 관리하고 통제하에 있음을 증빙할 수 있으며, 부서장(또는 팀장) 결재가 필요하다.
대체적으로 다음과 같은 내용을 포함한 자유 양식으로 모니터링 문서를 작성한다.
4-1. SAP 모니터링 문서 양식
회사 규정/내규에 따른 자체 양식이 없다면, 대체적으로 다음과 같은 내용을 포함한 자유 양식으로 모니터링 문서를 작성하면 된다.
1. 결재 표지
- 부서장(또는 팀장) 결재를 포함한 간략 표지
2. 업무 분장표
- 업무 분장표 (이름/직급/소속/업무)
3. 모니터링 대상 시스템
- 대상 시스템
- 대상 기간
4. 모니터링 사항(항목)
- 모니터링 기간 내, 점검 항목 N
5. 모니터링 점검 결과 (검토 결과)
- 모니터링 기간 내, 점검 항목 N 점검 결과
6. 상세 내용
- 모니터링 상세 프로세스 또는 내용 작성
7. 모니터링 점검 항목 N, 조회조건
- 모니터링 점검 항목 조회조건 캡쳐
- 모집단 완전성 확보를 위해 전체 데이터 갯수가 들어간 캡쳐 필요
8. 모니터링 점검 항목 N, 모집단 데이터
- 모니터링 점검 항목 모집단 전체 데이터 첨부
- 모집단 완전성 확보를 위해 7번의 전체 데이터 갯수 캡쳐와 익스포트한 데이터 갯수가 일치해야 한다.
9. 모니터링 점검 항목 N, 샘플링 데이터 증빙
- 자체 기준에 따라 모집단 데이터 샘플링
- 샘플링된 데이터에 대한 증빙자료 첨부4-2. SAP 모니터링 문서 종류
모니터링 문서 종류 역시, 회사 규정/내규에 따른 종류가 없다면, 대체적으로 다음과 같은 모니터링 문서를 준비하면 된다.
1. SAP 슈퍼유저 모니터링
- SAP_ALL, SAP_NEW 부여 이력 점검
- SU01, SU02, SU10, SU12, PFCG 등등의 유저/권한 제어 관련 티코드들이 부여된 롤 확인 및 해당 롤에 대한 부여 이력 점검
2. SAP 데이터 변경 모니터링
- 디버깅 수정 권한 롤 확인 및 해당 롤 부여 이력 점검
- SE16N_CD_KEY 의 데이터 변경 이력 점검
- Audit Log, Syslog 내 데이터 변경 메세지 ID (CUL, BUY) 조회
3. SAP 배치잡 수행 모니터링
- 배치잡 수행 결과 점검
- 배치잡 수행 취소(오류) 건에 대한 조치 사항 점검
4. SAP 계정 생성/삭제 모니터링
- SAP 계정 생성/삭제 이력 확인
해당 모니터링 문서는 운영환경에 따라. 아래 권한 부여/회수 모니터링 문서와 합쳐질 수도 있다.
보통 계정 생성 시, 같이 권한 부여를 하며, 삭제 시, 자동으로 권한 회수가 되기 때문이다.
5. SAP 권한 부여/회수 모니터링
- SAP 권한(롤/역할) 부여/회수 이력 확인
- 퇴사자 적시 권한 회수 이력 확인
- 전배자 적시 권한 회수 이력 확인
6. SAP OS 모니터링
- OS 슈퍼유저(root) 계정 접근 이력 점검
- OS 신규 계정 생성 이력 점검
- OS 패치 이력 점검
- 미승인 IP 에 대한 SAP DB/AP OS 접근여부 점검
7. SAP DB 모니터링
- DB 슈퍼유저(SYSTEM, SYS 계정 등등) 계정 접근 이력 점검
- DB 신규 계정 생성 이력 점검
- DB 패치 이력 점검
- 미승인 IP 에 대한 SAP DB 서버 DBMS 접근여부 점검
8. SAP 권한 적정성 모니터링 문서 (담당 협의)
해당 모니터링 문서의 담당에 대해서는 주관 부서끼리의 협의가 필요하다. 보통의 경우 BC 는 슈퍼유저 모니터링, 권한검토부서(또는 PI부서)가 권한 적정성 모니터링을 담당한다.
- 권한 적정성 평가 기준표 점검 (부서별/ 업무별)
- SAP 계정들에게 부여된 권한의 적정성 여부 점검 (주요 핵심 티코드에 대해서 모니터링)
