히타치 에너지 SuprOS, 기본 자격 증명 취약점으로 인한 보안 위협

히타치 에너지 SuprOS, 하드코딩된 기본 자격 증명 발견

스페인 마드리드 – 2026년 2월 13일 – 스페인의 국가 사이버보안 기관(INCIBE)은 산업 제어 시스템(ICS) 플랫폼인 히타치 에너지 SuprOS에 하드코딩된 기본 자격 증명 취약점이 존재한다고 경고했다. 이 취약점으로 인해 중요 인프라가 무단 접근 및 잠재적인 운영 중단 위험에 노출될 수 있다.

기술적 세부 사항

이 취약점은 CVE-2026-XXXX(공식 할당 대기 중)로 추적되며, 최신 보안 패치 이전의 SuprOS 소프트웨어 버전에 변경 불가능한 정적 자격 증명이 포함되어 있다. 네트워크 접근 권한을 가진 공격자는 이러한 자격 증명을 악용하여 관리자 권한을 획득하고 인증을 우회하며 산업 프로세스를 조작할 수 있다.

히타치 에너지 SuprOS는 에너지, 유틸리티, 제조 분야에서 널리 사용되며, 주로 감시 제어 및 데이터 수집(SCADA) 시스템을 관리한다. 기본 자격 증명의 사용은 잘 알려진 보안 위험이지만, 여전히 운영 기술(OT) 환경에서 지속적으로 문제가 되고 있다.

영향 분석

이 취약점을 성공적으로 악용할 경우 다음과 같은 결과가 발생할 수 있다:

• 산업 시스템의 무단 제어
• 운영 매개변수의 데이터 유출 또는 조작
• 전력 배전이나 수처리 등 중요 서비스 중단
• 연결된 IT/OT 네트워크로의 횡적 이동(Lateral Movement)

이 취약점은 특히 다운타임이나 파괴 행위가 경제적 및 공공 안전에 심각한 결과를 초래할 수 있는 중요 인프라 운영자에게 큰 우려를 낳고 있다.

권고 사항

INCIBE와 히타치 에너지는 영향을 받는 조직에 다음과 같은 조치를 취할 것을 강력히 권고한다:

1. 최신 SuprOS 보안 패치를 즉시 적용한다(안내를 위해 히타치 에너지 지원팀에 문의).
2. SuprOS 시스템을 신뢰할 수 없는 네트워크로부터 격리한다(조치가 완료될 때까지).
3. 실패한 로그인 시도나 비정상적인 명령 실행 등 의심스러운 활동을 모니터링한다.
4. 접근 제어를 검토하고 모든 ICS 계정에 최소 권한 원칙을 적용한다.
5. 보안 감사를 실시하여 OT 환경에서 기타 잠재적인 기본 자격 증명 위험을 식별한다.

자세한 내용은 INCIBE의 공식 권고안을 참고한다.

이 기사는 추가 정보가 확인되는 대로 업데이트될 예정이다.