⚠️ SAP 넷위버(NetWeaver) 취약점 익스플로잇, ShinyHunters가 공개하다 🚨

기업용 ERP(전사적 자원 관리) 시스템에서 가장 널리 사용되는 SAP가 최근 심각한 보안 위협에 직면했습니다.
악명 높은 해킹 그룹 ShinyHunters가 SAP의 치명적 취약점을 무기화한 익스플로잇을 공개하면서,
전 세계 SAP 환경이 위태로워진 겁니다.

이 공격은 단순한 “패치 안 된 시스템” 문제가 아닙니다.
이번에 공개된 익스플로잇은 여러 개의 제로데이 취약점을 체인 공격으로 엮어,
인증 없이 시스템 전체를 장악할 수 있는 수준까지 진화했어요.

---

💥 공격에 사용된 핵심 취약점들

가장 주목되는 취약점은 CVE-2025-31324입니다.

• CVSS 점수: 10.0 (최고 심각도)
• 대상: SAP NetWeaver Visual Composer
• 패치: 2025년 4월 제공 (SAP Security Note 3594142)

이 취약점은 공격자가 로그인조차 하지 않고 원격에서 임의 코드 실행(Remote Code Execution, RCE)을 할 수 있게 해 줍니다.
말 그대로 SAP 시스템을 통째로 뚫고 들어올 수 있다는 얘기죠.

또 다른 중요한 취약점은 CVE-2025-42999입니다.

• 타입: 역직렬화(Deserialization) 취약점
• 이를 통해 공격자는 시스템 내에 악성 파일을 설치하지 않고도 “기존 리소스”를 이용해 공격을 전개할 수 있어요.
• 흔히 말하는 “Living off the Land” (LoL) 기법인데, 공격 흔적이 거의 남지 않기 때문에 탐지가 극도로 어렵습니다.

---

🧩 익스플로잇의 정교함

이번 공격 도구가 무서운 이유는 단순히 취약점을 나열한 게 아니라,
SAP 내부 아키텍처를 깊게 이해하고 있다는 점이에요.

• 공격 코드는 SAP 전용 클래스(com.sap.sdo.api., com.sap.sdo.impl.)를 활용합니다.
• 심지어 SAP NetWeaver 버전에 따라 코드가 자동 조정되도록 짜여 있어,
  다양한 환경에서 실행될 수 있게 설계됐습니다.
• 즉, 이건 단순한 PoC(Proof of Concept)가 아니라,
  현업 환경에서 바로 쓸 수 있는 실전 무기화된 익스플로잇이라는 거예요.

SAP 취약점을 연구해온 Onapsis 보안 연구원들도 “이 취약점들은 새로 발견된 게 아니라 이미 알려진 것들이지만, 공격 코드가 공개됨으로써 대규모 공격 위험성이 폭발적으로 증가했다”고 경고했습니다.

---

🔎 왜 이번 공개가 위험한가?

사실 기업들이 SAP 취약점 패치를 제때 적용하지 못하는 경우가 많습니다. 이유는 다음과 같아요.

• 운영 중단 우려: ERP 시스템은 기업 핵심 프로세스를 다루기 때문에 다운타임을 최소화해야 함
• 복잡한 아키텍처: 패치가 다른 모듈과 충돌할 수 있어 적용이 쉽지 않음
• 대규모 사용자 환경: 수천 명이 사용하는 시스템이라 업데이트가 지연되기 쉬움

이런 상황에서 익스플로잇이 공개되면?
👉 공격자는 단순히 인터넷에서 스크립트를 다운로드받아 그대로 실행하기만 해도 기업의 SAP 서버를 장악할 수 있습니다.
👉 특히 랜섬웨어 그룹이나 사이버 범죄 조직이 즉시 활용할 수 있기 때문에, 앞으로 “공격 시도 급증”은 거의 확실합니다.

---

🛡️ 기업들이 취해야 할 대응책

이번 사태는 “SAP 패치 관리”가 선택이 아니라 생존의 문제라는 걸 다시 한번 보여줍니다. 지금 당장 할 수 있는 대응책을 정리하면 다음과 같습니다.

1. 패치 확인
   • CVE-2025-31324, CVE-2025-42999 관련 SAP Security Notes가 적용됐는지 점검
   • SAP Note 3594142(4월 패치) 포함 여부 반드시 확인
2. 추가 보안 모니터링
   • SAP NetWeaver 환경에서 비정상적인 API 호출·역직렬화 시도 탐지
   • SIEM(Security Information and Event Management)에서 SAP 로그를 연계 분석
3. 취약점 악용 탐지 룰 적용
   • IDS/IPS, EDR에 해당 취약점 공격 패턴 시그니처 적용
   • 특히 “파일이 남지 않는 Living off the Land 공격”에 대비한 행위 기반 탐지 룰 강화
4. 보안 운영팀 대응 프로세스 개선
   • “패치 미적용 시스템 발견 → 즉시 격리 → 보안팀 통보 → 대응 플랜 실행” 절차 내재화
   • 핵심 ERP 시스템은 일반 서버보다 우선순위로 패치 적용
5. 레드팀/블루팀 모의훈련
   • 내부 레드팀을 통해 실제 SAP 공격 시나리오 테스트
   • 블루팀이 대응 절차를 숙달할 수 있도록 침해 대응 훈련 필수

---

🤔 앞으로의 전망

SAP는 전 세계 대기업과 공공기관에서 사용하는 핵심 시스템입니다.
금융, 제조, 물류, 헬스케어까지 산업 전반에서 돌아가는 만큼,
이번 취약점 공개는 단순한 기업 IT 문제가 아니라 글로벌 공급망 보안 위기로 번질 가능성이 있습니다.

특히 ShinyHunters 같은 조직은 단순한 해킹 그룹이 아니라,
데이터 유출·랜섬웨어·공급망 공격까지 확장하는 집단입니다.
그들이 SAP용 무기화된 코드를 풀었다는 건,
이제 다수의 사이버 범죄자가 이를 활용해 즉시 공격을 실행할 수 있다는 의미예요.

보안 전문가들은 이번 사건을 “SAP 보안 위협 지형의 중대한 분기점”으로 평가하고 있습니다.
앞으로 몇 주 안에 SAP 취약점을 악용한 실제 공격 사례가 보고될 가능성이 크며, 기업 보안팀은 지금부터 대비해야 합니다.

---

✨ 마무리

SAP 시스템은 기업 비즈니스의 “심장”과도 같은 존재입니다.
여기가 뚫리면 단순한 데이터 유출이 아니라, 기업 전체 프로세스 마비로 이어질 수 있어요.

따라서 이번 사건은 단순히 “또 하나의 취약점”이 아니라,
패치 관리·지속적인 모니터링·보안 훈련의 중요성을 일깨우는 강력한 경고입니다.
기업 보안팀이라면 오늘 당장 SAP 패치 상태를 확인하고, 대응 체계를 다시 점검해야 할 때입니다. 🔐⚡