[Security] SAP NetWeaver SAML 인증 우회 취약점 CVE-2026-44748 — CVSS 9.9 긴급 패치
서론
2026년 6월 9일, SAP는 월간 보안 패치 데이(Security Patch Day)를 통해 15개의 새로운 보안 노트를 공개했습니다. 그중에서도 가장 심각한 건 CVE-2026-44748, SAP NetWeaver의 SAML 인증 로직에 존재하는 XML 서명 래핑(XML Signature Wrapping) 취약점입니다. CVSS 점수 9.9를 받은 이 취약점은 SAP 생태계 전반에 걸쳐 광범위한 영향을 줄 수 있어, 이미 여러 보안 기관이 즉각 패치를 권고하고 있습니다.
SAP NetWeaver는 전 세계 수만 개 기업의 핵심 ERP 인프라를 구동하는 플랫폼입니다. 여기서 SAML 기반 SSO(Single Sign-On)가 뚫린다는 건 단순한 계정 하나가 털리는 게 아니라, 연결된 모든 시스템의 신원 검증 체계가 무너질 수 있다는 의미입니다. BleepingComputer, SecurityWeek, SOCRadar 등 주요 보안 매체가 일제히 이 이슈를 다루며 긴급 대응을 촉구하고 있습니다.
이번 글에서는 CVE-2026-44748의 기술적 세부 내용과 함께 6월 패치 데이에서 다룬 다른 주요 취약점들도 살펴보겠습니다.
본론
CVE-2026-44748: XML Signature Wrapping 공격이란
CVE-2026-44748은 SAP NetWeaver AS ABAP 및 ABAP Platform의 SAML 인증 처리 코드에서 발견된 XML 서명 래핑(XSW, XML Signature Wrapping) 취약점입니다. CVSS 기준 점수는 9.9로, SAP가 한 해 발표하는 취약점 중에서도 손에 꼽히는 수준입니다.
XML Signature Wrapping 공격은 SAML의 서명(Signature) 검증 로직을 우회하는 기법입니다. SAML 어설션(Assertion)은 XML 문서 형태로 아이덴티티 공급자(IdP)에서 서비스 제공자(SP)로 전달됩니다. 이 XML 문서에는 디지털 서명이 포함되어 있어, 서비스 제공자는 서명이 올바른지 확인해야 합니다.
XSW 공격의 핵심 메커니즘은 다음과 같습니다:
- 공격자가 정상적으로 서명된 SAML 메시지를 먼저 확보합니다.
- XML 구조를 조작하여 서명은 원래 노드를 가리키지만, 검증 대상이 되는 실제 데이터 노드는 교체합니다.
- 서버의 XML 파서가 서명 검증과 데이터 읽기 단계에서 서로 다른 노드를 참조하는 파싱 불일치(parsing discrepancy)를 이용합니다.
- 결과적으로 서명 검증은 통과하지만, 실제 처리되는 아이덴티티 정보는 공격자가 위조한 내용이 됩니다.
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
<!-- 정상 SAML Assertion (단순화) -->
<Assertion>
<Subject>
<NameID>legit-user@company.com</NameID>
</Subject>
<Signature><!-- legit-user에 대한 유효한 서명 --></Signature>
</Assertion>
<!-- XSW 공격: 공격자가 위조한 XML 구조 -->
<Wrapper>
<Assertion>
<!-- 파서가 이 노드를 '실제' 어설션으로 읽음 -->
<Subject>
<NameID>admin@company.com</NameID>
</Subject>
</Assertion>
<Assertion ID="original">
<!-- 서명 검증은 이 원래 노드에 대해 수행됨 -->
<Subject>
<NameID>legit-user@company.com</NameID>
</Subject>
<Signature><!-- 원래 서명 (여전히 유효) --></Signature>
</Assertion>
</Wrapper>
SAP의 보안 노트 #3746332에 따르면, CVE-2026-44748은 저권한 인증 사용자(low-privileged authenticated user)가 유효하게 서명된 메시지를 확보한 뒤, 위조된 XML 문서를 검증자에게 전달해 잘못된 아이덴티티 정보를 수락하게 만들 수 있습니다.
영향 범위: 사실상 전 SAP 환경
CVE-2026-44748이 무서운 이유는 영향을 받는 SAP_BASIS 버전의 범위가 극도로 넓다는 점입니다. 공개된 정보에 따르면 SAP_BASIS 702부터 919까지의 전 버전이 취약합니다. SAP_BASIS는 SAP 시스템의 기반 레이어로, 이 범위는 수년간 운영 중인 거의 모든 SAP NetWeaver 환경을 포함합니다.
성공적으로 익스플로잇될 경우 공격자가 할 수 있는 일:
- 신원 위조: 다른 사용자로 가장해 ERP 시스템에 접근
- 권한 상승: 일반 사용자에서 관리자 권한으로 에스컬레이션
- 민감 데이터 접근: 인사, 재무, 구매, 생산 등 ERP 핵심 데이터 무단 조회·수정
- 신뢰 경계 침해: SAP 생태계 내 연결된 시스템 전반에 걸쳐 파급
특히 SAML SSO는 여러 시스템을 하나의 인증 체계로 묶기 때문에, 이 취약점이 익스플로잇되면 한 번의 공격으로 연결된 여러 SAP 모듈과 통합 시스템이 동시에 노출될 수 있습니다.
6월 2026 SAP 패치 데이: 4개의 Critical 취약점
SAP는 매월 두 번째 화요일에 보안 패치 데이 공고를 발표합니다. 2026년 6월 패치 데이에서는 총 15개의 신규 보안 노트가 발행되었고, 그중 4개가 Critical 등급이었습니다. 대상 컴포넌트는 NetWeaver, ABAP, Commerce Cloud에 걸쳐 있었습니다.
| 보안 노트 | CVSS | 영향 컴포넌트 | 유형 |
|---|---|---|---|
| #3746332 (CVE-2026-44748) | 9.9 | SAP NetWeaver AS ABAP, ABAP Platform (SAML) | XML Signature Wrapping |
| (추가 Critical) | High | SAP Commerce Cloud | 인증 우회 계열 |
| (추가 Critical) | High | SAP NetWeaver ABAP | 권한 상승 |
| (추가 Critical) | High | SAP ABAP Platform | 코드 인젝션 계열 |
ERP Today의 분석에 따르면, 이번 6월 패치 데이는 SAP 시스템의 신뢰 레이어(trust layer)에 대한 공격이 집중되는 패턴을 반영하고 있습니다. SAML, ABAP, Commerce Cloud에 걸쳐 있는 취약점들이 모두 인증 및 신원 확인 체계를 표적으로 삼고 있다는 점에서 그렇습니다.
SAP Insider는 이에 대해 “SAP 환경의 신뢰 체계가 외부 공격자들의 주요 표적이 되고 있으며, 정기적인 패치 데이 외에 지속적인 설정 감사가 필요하다”고 언급했습니다.
공격 조건과 사전 요구사항
CVE-2026-44748의 익스플로잇을 위해 공격자가 갖춰야 할 조건을 정리하면:
- 저권한 인증 계정: 완전한 익명 접근은 아니며, 최소한의 인증된 SAP 계정이 필요합니다. 그러나 SAP 시스템에 접근 가능한 협력사 계정, 퇴직 직원 계정, 또는 침해된 일반 사용자 계정만 있어도 충분합니다.
- 유효한 서명된 SAML 메시지: 인증된 계정으로 정상 로그인 과정에서 캡처할 수 있습니다.
- 네트워크 접근: 대상 SAP NetWeaver 시스템에 네트워크 접근 가능해야 합니다.
CVSS 9.9가 부여된 것은 이처럼 낮은 사전 조건(low privileges)으로도 극도로 높은 영향(complete confidentiality/integrity/availability impact)을 줄 수 있기 때문입니다.
즉각 대응 방법
패치 적용 (우선순위 1)
보안 노트 #3746332를 SAP Support Portal(support.sap.com)에서 내려받아 즉시 적용합니다. 패치는 해당 SAP_BASIS 버전별로 제공됩니다.
1
2
3
대상 버전: SAP_BASIS 702, 731, 740, 750, 751, 752, 753, 754, 755,
756, 757, 758, 759, 760, 761, ... 919 (전 버전)
적용 방법: SAP Support Portal > My Support > Security Notes > #3746332
임시 완화 조치 (즉각 패치 불가 시)
SAP는 즉각 패치 적용이 어려운 환경을 위해 임시 완화 조치를 제시했습니다:
- SAML 인증 비활성화: 가장 직접적인 방법이나, SAML을 활용하는 SSO 연동이 모두 중단됩니다. 비즈니스 영향을 확인한 후 적용하세요.
- 이상 로그인 모니터링 강화: SAP Security Audit Log를 활성화하고, 비정상적인 권한 상승 시도를 실시간 모니터링합니다.
- 네트워크 접근 제한: SAP NetWeaver에 접근 가능한 IP 범위를 최소화합니다. 인터넷 직접 노출 여부를 점검합니다.
- 계정 권한 검토: 퇴직 직원 계정, 미사용 서비스 계정을 즉시 비활성화합니다.
Layer Seven Security는 “임시 완화 조치는 일부 시나리오만 커버하며, 보안 노트 #3746332 패치가 유일한 완전한 해결책”이라고 명시했습니다.
정리
- CVE-2026-44748은 SAP NetWeaver AS ABAP의 SAML 인증 처리에 존재하는 XML 서명 래핑 취약점으로 CVSS 9.9, 최고 위험 등급
- 영향 범위는 SAP_BASIS 702~919 전 버전으로, 사실상 현재 운영 중인 거의 모든 SAP NetWeaver 환경이 해당
- 저권한 인증 계정만 있으면 신원 위조, 권한 상승, 민감 데이터 접근이 가능하며 연결된 시스템 전반으로 파급될 수 있음
- 2026년 6월 9일 발행된 보안 노트 #3746332를 즉시 SAP Support Portal에서 확인하고 적용하는 것이 최우선 대응
- 즉각 패치가 어렵다면 SAML 인증 비활성화, 이상 로그인 모니터링 강화, 네트워크 접근 제한, 계정 권한 검토를 병행
- ERP Today, SAP Insider 등 업계 매체는 이번 취약점을 SAP 신뢰 레이어에 대한 공격 집중화 트렌드의 일환으로 분석하며, 정기 패치 외 지속적인 설정 감사의 필요성을 강조
Reference
- SAP Security Patch Day June 2026: Critical CVE-2026-44748 SAML Flaw Could Allow Full Authentication Bypass — SOCRadar
- SAP fixes critical flaws in NetWeaver and Commerce Cloud — BleepingComputer
- SAP Patches Critical NetWeaver, Commerce Vulnerabilities — SecurityWeek
- SAP June 2026 Patch Day: Four Critical Fixes for NetWeaver, ABAP and Commerce Cloud — ERP Today
- SAP Security Patch Day June 2026 Shows Trust Layers Under Pressure — SAP Insider
- SAP Security Notes, June 2026 — Layer Seven Security
- SAP Security Patch Day — June 2026 — SAP Support Portal