클라우드 ERP 보안 사고 사례와 4가지 체크포인트

“클라우드 ERP를 도입하고 싶은데, 혹시 우리 회사 재무 데이터가 밖으로 새지 않을까 걱정돼요.”

많은 중소기업 CEO들이 클라우드 ERP 도입을 망설이는 가장 큰 이유는 바로 보안 문제 때문입니다. 회사의 중요한 자산인 재무 정보나 거래처 정보가 외부 서버에 저장된다고 생각하면 불안해지는 게 당연하죠. 실제로 한 번의 보안 사고가 회사에 치명적인 위기를 가져올 수 있으니 더 조심스러울 수밖에 없습니다.

하지만 아이러니하게도, 잘 설계된 클라우드 ERP는 직접 서버를 운영하는 것보다 훨씬 더 강화된 보안을 제공하기도 합니다. 결국 중요한 것은 '어떤 시스템이 정말로 안전한가'를 가릴 기준을 제대로 아는 데 있습니다.

클라우드 ERP 보안 사고, 실제로 일어나고 있습니다

수십만 건 데이터가 유출된 계정 탈취 사건

2024년, 유럽에 있는 한 ERP SaaS 기업에서 실제로 이런 일이 벌어졌습니다. 단 한 명의 직원 계정이 해킹되면서, 30만 건이 넘는 고객 거래 데이터가 외부로 빠져나간 겁니다. 해커는 한 직원에게 피싱 메일을 보내 비밀번호를 알아냈고, 그 계정으로 평소처럼 접속해 방대한 데이터를 검색하고 다운로드했습니다.

문제는 이 ERP가 여러 고객사가 함께 사용하는 멀티테넌트 방식이었다는 점입니다. 계정 하나가 뚫리자, 그 회사뿐 아니라 같은 플랫폼을 쓰는 여러 기업의 주문 정보와 고객 정보까지 줄줄이 노출됐습니다. 결국 공통으로 사용하는 인프라 전체가 위험에 빠진 셈이죠.

여러분 회사는 지금 정말 안전한가요? 퇴사한 직원의 계정은 바로바로 차단하고 계신가요? 중요한 작업을 할 때 추가 인증을 꼭 거치고 있나요? 한 번쯤 다시 꼼꼼히 점검해봐야 할 때입니다.

클라우드 플랫폼 취약점 하나로 인한 600만 건 유출

2025년 3월, Oracle Cloud에서 실제로 일어난 사건입니다. 로그인 엔드포인트에 있던 취약점이 공격에 악용되면서, 600만 건이 넘는 기록이 유출됐습니다. 해커는 SSO 자격증명, LDAP 비밀번호, OAuth2 키, 심지어 암호화 키까지 손에 넣었습니다. 14만 개가 넘는 기업 테넌트도 영향을 받았고, 공격자는 이 데이터를 공개하지 않는 대가로 금전까지 요구했습니다.

결국 클라우드 ERP가 올라가는 플랫폼의 인증 취약점 하나 때문에, ERP 시스템에 쓰이는 모든 키와 토큰이 전부 새어나간 셈이죠. 아무리 ERP 자체 보안이 튼튼해도, 기반 플랫폼이 뚫리면 모두 소용없다는 걸 보여줍니다.

ERP 공격으로 인한 회사 파산

주류 업체인 Stoli Group 역시 SAP 기반 ERP 시스템이 사이버 공격으로 중단되는 바람에, 회계 등 주요 업무를 모두 수작업으로 전환해야만 했습니다. 이후에도 시스템은 완전히 복구되지 못했고, 재무 보고 지연, 업무 차질, 신뢰 하락이 연달아 터져 나왔죠. 결국 이 회사는 파산 신청서에 사이버 공격을 재정 악화의 주요 원인 중 하나로 적었습니다.

ERP 중단은 결코 단순한 IT 오류가 아닙니다. 재무 보고가 멈추면 자금 조달이 막히고 거래처와의 신뢰 역시 무너집니다. 결과적으로 회사의 존립 자체를 위협하게 됩니다.

클라우드 ERP 보안, CEO가 확인해야 할 4가지

그렇다면 안전한 클라우드 ERP는 어떻게 구분할까요? 파로스는 삼일회계법인과 25년 금융IT 전문 기업 핑거가 공동 개발한 중소기업 전용 클라우드 ERP입니다. 은행과 카드사 시스템을 25년간 구축해온 금융IT 보안 노하우를 ERP에 그대로 적용했습니다.

안전한 클라우드 ERP를 선택할 때 반드시 확인해야 할 4가지 체크포인트를 파로스 사례로 설명드리겠습니다.

1. ISMS 인증 여부가 정말 중요합니다

ISMS, 즉 정보보호관리체계 인증은 국가에서 공식 인정하는 대표적인 보안 기준입니다. 이 인증을 받았다는 건 전자금융 감독규정에서 요구하는 까다로운 보안 체계를 구축했다는 의미이기도 합니다.

파로스는 PG, 즉 전자지급결제대행 분야에서 ISMS 인증을 획득했습니다. 쉽게 말해 금융회사 수준의 보안을 갖췄다는 증거입니다. 단순한 ERP가 아닌, 금융 시스템에 준하는 보안을 제공하는 셈이죠. 국세청 신고 데이터나 직원 급여, 4대 보험 관련 자료까지 다루는 ERP라면 이 정도 인증은 당연히 갖춰야 할 기본이라 할 수 있습니다.

2. 금융존 데이터센터 사용 여부를 물어보세요

일반 클라우드와 금융존 클라우드는 보안 수준부터 다릅니다. 파로스는 NHN 클라우드의 금융존을 이용해 데이터를 안전하게 보관하고 있습니다. 이 금융존은 실제 은행 시스템과 맞먹는 수준의 물리적, 논리적 보안 체계를 갖춘 공간입니다. 출입통제, 24시간 모니터링, 이중 방화벽, 데이터 암호화 저장 등은 기본으로 제공되죠. 굳이 직접 서버실을 운영할 필요 없이 훨씬 더 안전하게 데이터를 지킬 수 있습니다. 데이터 역시 실시간 분산 저장과 자동 백업이 이뤄져, 한 곳에 문제가 생겨도 즉시 다른 공간에서 복구가 가능합니다.

3. 클라우드 MSP 운영 경험이 있는 파트너인지 알아보세요

파로스를 만든 핑거는 25년 넘게 국내 금융IT 현장에서 혁신을 이끌어온 회사입니다. 단순히 ERP 소프트웨어만 개발하는 것이 아니라, 클라우드 MSP, 즉 관리형 서비스까지 직접 제공하는 경험 많은 회사죠. 그동안 은행, 보험, 빅테크, 통신사, 공공기관 등 다양한 곳의 시스템을 실질적으로 개발하고 운영해 본 노하우가 쌓여 있습니다. 그래서 보안 사고 대응, 데이터 백업과 복구, 실시간 모니터링 등의 체계를 이미 완성해 놓았습니다.

4. 주 1회 업데이트로 신속하게 보안 위협에 대응

2025년 9월, Oracle E-Business Suite에서 제로데이 취약점이 발견됐던 사건을 혹시 아시나요? 공격자들은 이 취약점을 악용해 ERP 시스템 내의 문서와 데이터를 유출하고, 회사 경영진에게 ‘귀사의 ERP가 뚫렸다’는 협박 메일까지 보냈습니다. 패치 전까지 수많은 기업이 피해를 입었죠.

이처럼 새로운 보안 위협은 매일같이 등장합니다. 그래서 신속한 패치, 빠른 업데이트가 무엇보다 중요하죠. 파로스는 주 1회 꼬박꼬박 업데이트를 실시합니다. 고객센터에 접수된 문의 사항이나 VOC도 꼼꼼하게 검토해, 보안 패치를 포함한 다양한 업그레이드를 진행하고 있습니다. 보안 패치가 더딘 시스템은 그만큼 더 위험에 노출될 수밖에 없습니다.

CEO가 결정해야 할 시점입니다

클라우드 ERP의 보안은 단순한 기술 문제가 아니라, 사실상 경영적인 판단에 달려 있습니다. 올바른 시스템을 선택하면 자체 서버보다 훨씬 더 안전하게 정보를 지킬 수 있죠. 중요한 건 어떤 시스템이 진짜로 믿을 만한지 판단하는 기준을 아는 겁니다.

ISMS 인증 여부, 금융존 데이터센터 사용, MSP 운영 경험, 다단계 인증 적용, 그리고 주 1회 정기 업데이트. 이 다섯 가지만 체크하면 안심할 수 있습니다.

혹시 보안에 대한 걱정 때문에 ERP 도입을 계속 미루고 계신가요? 지금 같은 시기엔, 오히려 그게 더 위험할 수도 있습니다. 아직도 엑셀이나 종이 장부로 관리하는 게 클라우드보다 안전하다고 생각하신다면 다시 한 번 고민해 보셔야 합니다.

직원이 퇴사할 때마다 모든 파일을 일일이 회수하고 계신가요? USB를 분실해서 데이터가 외부로 유출될 가능성은 없다고 자신하실 수 있나요? 혹시 랜섬웨어 공격에 대비한 충분한 백업 체계도 갖추고 계신지요?

신뢰할 수 있는 클라우드 ERP를 도입하면 이런 불안한 요소들을 깔끔하게 차단할 수 있습니다. Stoli Group처럼 ERP가 해킹당해 회사가 위기에 처하는 일, 우리에겐 일어나지 않아야겠죠. 이제 선택할 때입니다.

파로스 무료 체험을 통해 직접 확인해 보세요. ISMS 인증과 금융존 보안이 실제로 여러분 회사의 소중한 데이터를 어떻게 지키는지 직접 경험하실 수 있습니다.