SAP NetWeaver 취약점 CVE-2025-31324: 서버 하이재킹 및 원격 코드 실행 경고

최근 SAP NetWeaver 취약점 CVE-2025-31324가 CVSS 기준 최고 점수인 10.0으로 평가되었다. 이 취약점은 무제한 파일 업로드 취약점으로 서버 하이재킹과 원격 코드 실행에 악용될 수 있으며, 이미 여러 산업 분야에서 대규모 악용이 보고되었다. 이번 글에서는 CVE-2025-31324의 보안 위협과 CTI 기반 취약점 대응 방법에 대해 소개한다.

SAP NetWeaver 취약점 CVE-2025-31324

CVE-2025-31324는 SAP NetWeaver 취약점으로, 인증되지 않은 공격자가 외부에 노출된 인스턴스에 임의의 실행 파일을 업로드함으로써 코드 실행과 전체 시스템 손상을 유발할 수 있는 심각한 취약점이다. 특히, Visual Composer가 활성화되어 있고, 보안 패치가 적용되지 않은 VCFRAMEWORK 7.X 버전에서 취약하다. 이 취약점이 악용될 경우, 원격 코드 실행(RCE) 공격으로 발전되어 서버에 악성코드가 주입될 가능성이 있고, 호스트 시스템 전체에 위협이 될 수 있기 때문에 CVSS 10.0 의 고위험 평가를 받았다.

공격자는 특수하게 조작된 POST 요청을 통해 JSP 웹셸과 같은 악성 파일을 업로드하고, 이를 통해 시스템 명령을 실행할 수 있다. 이미 다수의 글로벌 기업이 해당 취약점 악용 피해를 보고했다고 알려져 있으며, SAP NetWeaver의 개발사 SAP는 지난 13일 패치를 발표했지만, 여전히 CVE-2025-31324에 취약한 서버가 온라인에 노출되어 있어 기업들은 자사에서 운용중인 SAP NetWeaver의 버전과 취약 상태를 확인하고 빠른 조치를 취해야 한다. 

CTI를 활용한 잠재 악용 대상 탐색: 외부 노출된 SAP NetWeaver

SAP NetWeaver 취약점 CVE-2025-31324 등에 취약한 SAP NetWeaver 제품 탐색에 Criminal IP와 같은 CTI 도구를 활용할 수 있다. 예를 들어, 다음과 같은 쿼리를 사용하면 외부에 노출된 SAP NetWeaver Application Server를 검색할 수 있다.

Criminal IP Search Query: product: sap netweaver application server

• https://www.criminalip.io/ko/asset/search?query=product%3A+sap+netweaver+application+server

Criminal IP에 외부 노출된  SAP NetWeaver 서버를 검색한 결과 2,955개의 서버가 노출되어 있었다. 결과 가운데에는 각각 200 상태코드와 401 상태코드를 반환한 결과들을 확인할 수 있었다. SAP NetWeaver는 주로 기업의 핵심 시스템(HR, 재무, 공급망 등)에 운용되는 플랫폼으로 보안이 정상적으로 설정되어 있을 경우에는 민감하거나 내부 전용 기능(URL)은 다음과 같은 응답을 반환해야 한다.

• 401 Unauthorized: 인증이 필요함
• 403 Forbidden: 접근 권한 없음
• 404 Not Found: 경로 숨김

그러나 200 상태코드를 반환했다는 것은 해당 엔드포인트가 인증 없이 누구에게나 열려 있고, 업로드 등을 받아들일 수 있다는 것을 의미한다. 특히 결과 가운데 SAP NetWeaver 기본 포트 중 하나인 50000 포트가 오픈된 결과를 확인해보니 CVE-2025-31324에 취약한 7.53 버전을 사용하고 있었다. 만약 이 상태에서 SAP Visual Composer 까지 활성화되어 있다면 이 서버는 명백히 CVE-2025-31324에 악용될 수 있다.

해당 서버는 2017년부터 존재했던 취약점이 여전히 패치되지 않은 상태로 탐지되었으며, 최근 활발히 악용되는 취약점의 잠재 타겟으로도 볼 수 있어, 즉시 보안 조치가 필요해 보인다. 이렇게 방치된 서버가 외부에 노출되어 있음은 인증 우회, 원격 코드 실행, 정보 유출, 권한 상승 공격의 위협이 높아진다는 것을 시사한다.

CVE-2025-31324 악용 예방

SAP NetWeaver 취약점 CVE-2025-31324는 인증 우회로 악성 JSP 파일을 업로드하고 원격 코드 실행(RCE)을 가능하게 하는 치명적인 취약점이다. 취약점 악용 피해를 예방하기 위해서는 기술적 패치뿐 아니라 위협 인텔리전스(CTI)와 공격 표면 관리(ASM)를 함께 활용한 다층적인 보안 대응 전략이 요구된다.

• SAP 공식 보안 패치 적용 및 불필요한 경우, Visual Composer 비활성화
• SAP Web Dispatcher 또는 WAF 구성을 통해 인증 없는 POST 요청 차단 설정
• 위협 인텔리전스 툴을 활용한 취약 상태 탐지 및 대응
• 공격 표면 관리 솔루션을 활용한 서버의 외부 노출 여부 모니터링

FAQ

Q1. SAP NetWeaver 취약점 CVE-2025-31324가 악용되면 어떤 영향을 끼치나요?

CVE-2025-31324가 악용될 경우, 공격자는 인증 없이 SAP NetWeaver Application 서버에 악성 JSP 파일을 업로드하고 이를 실행함으로써 원격에서 서버 제어권을 획득할 수 있다. 이로 인해 다음과 같은 보안 피해가 발생할 수 있다.

1. 원격 코드 실행: 공격자가 서버에서 시스템 명령을 실행할 수 있어, 악성코드 실행과 서버 장악 가능
2. 백도어 및 웹셸 설치: 업로드된 JSP 파일이 웹셸 역할을 하며 지속적 접근 경로를 제공하고 공격자는 추후에도 시스템에 재진입 가능
3. 데이터 유출 및 시스템 정보 탈취: SAP 내부 데이터 (고객 정보, ERP 데이터, 인사/재무 정보) 탈취 가능
4. 내부망 침투 및 확산: SAP 서버를 거점으로 삼아 내부 네트워크로 침투 (측면 이동)
5. 서비스 중단 및 운영 피해: 서버 자원 과다 사용 또는 시스템 파일 변경으로 인한 서비스 중단 가능
6. 규제 위반 및 신뢰도 손상: 개인정보 유출 시 GDPR, CCPA 등 법적 제재와 고객사, 파트너, 감사기관으로부터의 신뢰 하락

Q2. SAP NetWeaver 취약점 CVE-2025-31324 악용을 예방하는 방법은 무엇인가요?

CVE-2025-31324는 서버 하이재킹과 원격 코드 실행 공격으로 이어질 수 있는 치명적인 취약점으로, 이를 예방하기 위해서는 최신 보안 패치뿐만 아니라 위협 인텔리전스(CTI)와 공격 표면 관리(ASM)를 병행한 복합적인 보안 체계 도입이 중요하다. SAP에서는 공식 보안 패치를 신속히 적용하고, Visual Composer 컴포넌트가 불필요할 경우 이를 비활성화해야 하며, 인증 없는 POST 요청을 차단하는 설정이 요구된다. 또한, 위협 인텔리전스 도구를 활용해 취약 상태를 조기에 탐지하고 대응하며, ASM 솔루션을 통해 서버가 외부에 노출되어 있는지를 지속적으로 모니터링함으로써 보안 사고를 사전에 방지할 수 있다.

결론

SAP NetWeaver는 기업의 핵심 업무를 담당하는 인프라로, 그 보안 취약점은 단순한 시스템 결함을 넘어 기업 전체의 경영 리스크로 이어질 수 있다. CVE-2025-31324는 인증 우회를 통한 파일 업로드와 원격 코드 실행이 가능한 치명적인 취약점으로, 이미 현실에서 악용된 사례가 보고되고 있다. 단순히 패치를 적용하는 것에 그치지 않고, CTI와 ASM을 적극적으로 활용해 외부 노출 여부를 상시 점검하고 공격 징후를 선제적으로 탐지하는 다계층 방어 전략이 필수적이다. 

관련하여 CVE-2025-32433: Erlang/OTP SSH 원격 코드 실행 취약점 경고 글을 참고할 수 있다.

---

데이터 출처: Criminal IP (https://www.criminalip.io/ko), NIST (https://nvd.nist.gov/vuln/detail/CVE-2025-31324), Bleeping Computer (https://www.bleepingcomputer.com/news/security/over-1-200-sap-netweaver-servers-vulnerable-to-actively-exploited-flaw/), SC Media (https://www.scworld.com/news/sap-netweaver-bug-exploited-since-january-allows-rce)

관련 글 :

https://www.criminalip.io/ko/knowledge-hub/blog/27639