SAP S/4HANA 코드 인젝션 취약점, 실제 악용 시작… 지금 당장 막아야 합니다 ⚠️

SAP 환경을 쓰는 조직이라면 오늘 내용은 꼭 끝까지 읽어주세요.
지난달 공개·패치된 S/4HANA 취약점 CVE-2025-42957이 이제 실제 공격에 사용되고 있습니다.
점수부터 심상치 않죠.
CVSS 9.9. 게다가 공격자는 낮은 권한의 일반 사용자 계정만 있어도 ABAP 코드를 주입해 시스템 전체를 장악할 수 있습니다.
독일의 SAP 보안 전문사 SecurityBridge가 실제 악용 정황을 확인했고, Pathlock도 이상 징후를 포착했다고 밝혔습니다.
패치가 나온 뒤 악용 시도가 오히려 급증했다는 분석까지 나왔습니다.
왜일까요? 패치 내용을 역공학하면 취약 지점이 드러나기 때문입니다.

결론부터 말하면, 아직 광범위 대란은 아니지만, 이미 공격자들은 쓰는 법을 알고 있다는 뜻입니다.

미패치 시스템은 노출 상태, 즉 시간 싸움입니다.
특히 내부 사용자 혹은 피싱으로 빼낸 일반 계정 하나만으로도 시스템 관리자 권한까지 이어질 수 있어 위험도가 매우 큽니다.

---

무슨 일이 벌어졌나? 사건 핵심 요약 🧩

1. 취약점 정체
   CVE-2025-42957은 SAP S/4HANA(프라이빗 클라우드·온프레미스 모두)에 존재하는 코드 인젝션 결함입니다.
   낮은 권한의 사용자라도 특정 모듈을 원격 기능 호출(RFC)로 두드리면 ABAP 코드를 주입·실행할 수 있습니다.
2. 실제 악용 확인
   SecurityBridge가 실전 악용을 확인했고, Pathlock은 패치 공개 후 이상 트래픽이 급증했다고 합니다.
   아직 공개 PoC는 없지만, 그건 오히려 더 위험합니다. 조용히 쓰이고 있을 가능성이 크니까요.
   
   
3. 왜 위험한가
   공격 난이도가 낮고, 네트워크 경유로 가능하며, 성공 시 운영체제·데이터 전체에 접근이 열립니다.
   데이터 변조·삭제, 관리자 계정 은닉 생성, 해시 탈취, 백도어 장기 잠복 등 최악의 시나리오가 현실화됩니다.

---

공격 흐름을 그림처럼 이해하기 🛠️

1. 초기 발판 얻기
   피싱이나 크리덴셜 스터핑으로 일반 사용자 계정을 확보합니다.
   내부 악의적 사용자도 가능.
   
   
2. RFC 호출로 취약 모듈 타격
   취약 모듈에 Remote Function Call을 날려 ABAP 페이로드를 흘려 넣습니다.
   여기가 취약점의 심장입니다.
3. 권한 상승 및 전면 장악
   주입된 코드로 관리자 권한을 획득하고, 시스템·DB·파일·스케줄러·백업 체인을 모두 엽니다.
   
   
4. 지속성 확보와 은폐
   신규 관리자 계정 생성, 작업 스케줄 등록, 보안 로그 억제, RFC 로그 삭제 같은 안티 포렌식 작업을 수행합니다.
   
   
5. 확산과 탈취
   멀티 시스템 랜드스케이프로 횡이동, 해시/토큰 탈취, 데이터베이스 직행, 대량 덤프·암호화까지 확대됩니다.
   
   

---

누가 특히 위험한가? 🎯

• S/4HANA를 온프레미스 혹은 프라이빗 클라우드로 운영 중인데 8월 패치를 미적용한 조직
• RFC 포트/커넥션이 과하게 열려 있고, UCON(통합 커넥티비티 프레임워크) 미구현 조직
• 개발/테스트 시스템에서 권한 관리가 느슨하고, 전이 권한으로 운영에 접근 가능한 구조
• SIEM에 SAP 전용 파서/사용자 행동 분석이 미흡해 이상 징후를 놓치는 환경
• 내부 계정 탈취(피싱) 대응이 약하고 MFA 적용률이 낮은 조직

---

지금 당장 할 일: 24시간 이내 응급 처치 체크리스트 ⏱️

패치 적용이 최우선입니다. 동시에 다음 항목을 한 번에 묶어 실행하세요.

패치 상태 확인 및 즉시 적용

• 8월 SAP 보안 업데이트에 포함된 CVE-2025-42957 핫픽스 적용 여부 점검
• 다운타임이 부담되면, 임시 차단 룰과 네트워크 세그멘테이션으로 위험도 먼저 낮추기

UCON으로 RFC 최소화

• Unified Connectivity Framework(UCON) 활성화
• 사용하지 않는 RFC Function/Module 비활성화, 화이트리스트 기반 허용으로 전환

계정·권한 긴급 점검

• 최근 30일 신규 생성 관리자 계정, 롤 변경 이력 전수 조사
• 의심 계정 강제 비밀번호 초기화, MFA 강제 적용

이상 트래픽·로그 추적

• RFC 호출 급증, 실패 시도 반복, 이례 지역/시간대 접근 탐지
• 로그 삭제 흔적(감사 로그 갭), 비정상 테이블/레포 변경 이력 확인

데이터 보호

• 핵심 테이블 백업 무결성 검증, 백업·스냅샷 오프라인 보관
• 대량 덤프/추출 작업 스케줄 모니터링 강화

---

72시간 내 심층 진단 루틴 🔍

SAP 콘솔·트랜잭션 기반으로 다음을 실행해 보세요.
(각 조직의 명명 규칙/권한 구조에 맞춰 유사 지표를 대체해도 좋습니다)

• SM59: RFC Destination 목록 점검, 불필요/미사용 엔트리 제거, 사용자/시스템 타입 검증
• UCON cockpit: 허용 RFC 함수 제한, 신규 요청 승인 프로세스 의무화
• SUIM: 사용자/롤 변경 이력, 대량 권한 상승 탐지
• SM20: 보안 감사 로그에서 관리자 로그인, 야간/휴일 접속, 로그 삭제/중지 시도 탐지
• STAD/ST03N: 비정상 대량 처리, 특정 Function Module 반복 호출
• SE80/SE38/SE93: 최근 ABAP 레포지토리 변경, 수상한 Z* 프로그램 추가 여부
• SNOTE/SAP CAR: 패치 적용 상태 교차 검증, 누락 노트 보완
• DB 레벨: 대용량 SELECT/EXPORT 스파이크, 스키마 변경 이력 확인
• SIEM: SAP 커넥터 파서 활성화, UEBA 룰로 사용자 행태 이상 탐지

---

장기 대책: 구조적 보강 로드맵 🧱

최소 권한의 기본으로 회귀

• 모든 통신 경로·기능 모듈·배치 작업에 최소 권한 설계 적용
• 개발·테스트·운영 간 권한·네트워크 분리(브레이크글라스 절차 포함)

코드 보안 품질 상향

• ABAP ATC(ABAP Test Cockpit), Code Vulnerability Analyzer 정례화
• 커스텀 코드에 대한 보안 리뷰·리포지토리 서명·변경 승인 체계 확립

RFC 거버넌스

• RFC 목적/소유자/주기성 메타데이터 관리
• 신규 연결은 보안팀 승인 + 만료일 지정 + 주기적 재인증

아이덴티티·접근 통제

• 전 계정 MFA, 비정상 로그인 실시간 차단
• 역할 기반 접근(RBAC) 정비, 비사용/휴면 계정 자동 만료

탐지·대응 자동화

• SAP 로그 표준화·SIEM 연동, UEBA로 내·외부 위협 동시에 커버
• SOAR로 계정 격리·세션 종료·권한 롤백 플레이북 자동화

레질리언스 확보

• 3-2-1 백업(3개 사본, 2개 매체, 1개 오프사이트/오프라인), 주기적 복구 리허설
• 랜섬웨어 시나리오 테이블탑, 법무/컴플라이언스 연동된 위기 커뮤니케이션 절차

---

보안팀을 위한 탐지 아이디어(실무 룰 샘플) 🧪

• 짧은 시간에 동일 사용자/호스트가 다수의 RFC Function 호출
• 관리자 권한 롤이 단기간에 여러 사용자에게 부여/회수 반복
• ABAP 레포지토리(Z*, Y* 네임스페이스) 신규 생성/변경이 야간에 집중
• 감사 로그 공백 구간 + 직전/직후 관리자 로그인 존재
• 대량 데이터 추출 작업이 평소와 다른 목적지·계정으로 진행

이상 징후는 하나만으로 결론 내리지 말고, 2~3개 시그널이 겹칠 때 우선순위를 높여 triage 하세요.

---

왜 지금이냐? 패치 공개 후가 더 위험한 이유 ⏳

공개 패치는 양날의 검입니다.
고객은 고칠 수 있지만, 공격자도 무엇을 고쳤는지 비교해 취약점의 본질을 빠르게 파악합니다.
그 결과, 패치 직후 짧은 기간에 익스플로잇 개발이 폭증하는 게 업계의 통계적 패턴입니다.
지금이 바로 그 창구 효과가 극대화되는 타이밍입니다.
패치 미루지 마세요. 임시 차단으로라도 노출면을 줄인 뒤, 윈도우를 짧게 잡아 신속히 업데이트 하셔야 합니다.

---

마무리: SAP 보안은 선택이 아닌 생존 🧭

이번 CVE-2025-42957은 내부 계정 하나만 탈취해도 전면 장악이 가능한, 설계적으로 위험한 결함입니다.
다행히 아직 대규모 난사가 확인되진 않았지만, 이미 실전 악용이 시작됐다는 사실이 중요합니다.
패치 적용, UCON으로 RFC 최소화, 로그·권한 전수 점검을 오늘 바로 착수하세요.
그리고 장기적으로는 권한·코드·연결 거버넌스, 탐지·대응 자동화까지 아우르는 체질 개선이 필요합니다.

보안은 이벤트가 아니라 과정입니다.
이번 사건을 계기로 SAP 랜드스케이프의 기본기를 다시 세우는 기회로 삼으시길 바랍니다.