[아이티데일리] SAP의 주력 ERP 시스템인 S/4HANA에서 치명적인 보안 취약점이 발견됐다. 이미 사이버 공격에 악용된 사례가 보고돼 S/4HANA를 사용하는 기업들은 긴급히 패치를 적용해야 한다.

이번 취약점은 CVE-2025-42957로 추적된다. CVSS 점수 9.9점으로 최고 위험 등급이다. 공격자는 낮은 수준의 사용자 권한만 있으면 임의의 ABAP(Advanced Business Application Programming) 코드를 시스템에 주입해 전체 SAP 환경을 완전히 장악할 수 있다.

이번 취약점은 지난 6월 27일 보안 업체 시큐리티브리지(SecurityBridge)의 위협 연구소가 발견해 SAP에 공유했다. SAP는 8월 11일 월간 보안 업데이트를 통해 패치를 배포했다. 하지만 시큐리티브리지는 이미 실제 환경에서 이번 취약점을 노린 공격이 확인됐다고 밝혔다.

시큐리티브리지 분석에 따르면, 취약점은 SAP S/4HANA의 RFC(원격 함수 호출)를 통해 노출된 함수 모듈의 결함에서 비롯됐다. 미국 국가취약점데이터베이스(NVD)에 등록된 설명을 보면, SAP S/4HANA는 사용자 권한을 가진 공격자가 RFC를 통해 노출된 함수 모듈의 취약점을 악용할 수 있도록 허용한다. 이는 결국 시스템에 임의의 ABAP 코드 주입을 가능하게 함으로써 필수적인 권한 검사를 우회할 수 있게 된다는 것을 의미한다.

공격이 성공적으로 이뤄질 경우 공격자는 SAP 데이터베이스를 수정하고, ‘SAP_ALL’ 권한을 가진 슈퍼유저 계정을 생성하며, 패스워드 해시를 다운로드하고, 비즈니스 프로세스를 변경할 수 있다. 또한 데이터 도난 및 조작, 코드 주입(Code Injection), 백도어 계정 생성을 통한 권한 상승, 자격 증명 도난, 멀웨어나 랜섬웨어를 통한 운영 중단 등과 같은 보안상 심각한 결과까지 이어질 수 있다.

보안 전문가들은 특히 이번 공격의 난이도가 낮다는 점에서 더욱 주의가 필요하다고 경고한다. 단순히 취약한 RFC 모듈에 접근할 수 있는 유효한 SAP 사용자 계정과 ‘수정/변경 권한(Activity 02)’를 가진 ‘S_DMIS’ 권한 객체만 있으면 되며, 사용자 상호작용이나 피싱 링크, 소셜 엔지니어링 등의 추가적인 단계가 필요하지 않다는 설명이다.

실제 공격 사례도 이미 확인됐다. 시큐리티브리지 측은 “아직 광범위한 공격은 관찰되지 않았지만, 취약점의 실제 악용이 확인됐다. 공격자들이 이미 이를 사용하는 방법을 알고 있다는 의미로, 패치되지 않은 SAP 시스템들이 위험에 노출돼 있다”고 경고했다.

국내 한 보안 기업 연구소장은 “SAP S/4HANA는 기업 및 기관의 재무, 공급망, 운영 프로세스 등을 총괄하는 중앙 시스템 역할을 한다. 따라서 일단 침해되면 매우 심각한 피해로 이어진다는 사실은 너무나도 분명하다”면서 “국내도 은행과 보험부터 제조업, 에너지, 의료, 공공 부문까지 광범위한 대기업 및 공공기관들이 SAP S/4HANA를 사용하고 있는데, 최근 국내에서 발생하는 보안 사고들을 보면 패치 미적용 때문에 침입을 허용한 경우가 굉장히 많았다. 반드시 사용 중인 시스템을 확인하고 발표된 패치를 적용해야 한다”고 설명했다.

이번 취약점에 영향을 받는 제품은 △프라이빗 클라우드 또는 온프레미스 버전 S/4HANA의 S4CORE 102, 103, 104, 105, 106, 107, 108 버전 △분석 플랫폼인 ‘랜드스케이프 트랜스포메이션(Landscape Transformation)’ DMIS 버전들 △SAP 비즈니스 원(SAP Business One) SLD B1_ON_HANA 10.0 및 SAP-M-BO 10.0 버전 △SAP 넷위버 애플리케이션 서버 ABAP(SAP NetWeaver Application Server ABAP) BIC 도큐먼트(BIC Document)의 다양한 버전들 등이다.