Johnson Controls iSTAR 접근 제어 시스템의 치명적 스택 기반 버퍼 오버플로우 취약점

마드리드, 스페인 – 2026년 1월 23일 – INCIBE-CERT는 Johnson Controls iSTAR 접근 제어 시스템에서 발견된 치명적인 스택 기반 버퍼 오버플로우 취약점에 대한 사전 경고를 발표했습니다. 이 취약점은 CVE-2026-XXXX로 추적되며, 물리적 보안 인프라에 의존하는 조직에 심각한 위험을 초래합니다.

기술적 세부 사항

이 취약점은 iSTAR 펌웨어의 부적절한 입력 검증에서 발생하며, 공격자가 특수하게 조작된 네트워크 패킷을 통해 스택 기반 버퍼 오버플로우를 유발할 수 있습니다. 성공적인 공격은 다음과 같은 결과를 초래할 수 있습니다:

• 권한 상승을 동반한 원격 코드 실행(RCE)
• 서비스 거부(DoS) 상태
• 민감한 시설 제어에 대한 무단 접근

공급업체의 패치가 배포되기 전까지 구체적인 기술적 세부 사항은 제한적이지만, 이 취약점은 인증 없이도 악용될 가능성이 있어 높은 심각도로 분류되었습니다. Johnson Controls iSTAR 시스템은 의료, 정부, 상업 시설 등 주요 인프라 분야에 광범위하게 배포되어 있습니다.

영향 분석

이 취약점은 조직에 다음과 같은 위험을 초래합니다:

• 접근 제어 시스템 침해로 인한 물리적 보안 침해
• 연결된 OT/IT 네트워크로의 횡적 이동(Lateral Movement)
• NIST SP 800-82 및 IEC 62443과 같은 프레임워크 하의 규정 준수 위반

INCIBE-CERT는 현재까지 실제 공격 사례를 확인하지 않았지만, 취약점의 심각성을 고려하여 즉각적인 조치를 권고하고 있습니다.

권장 조치 사항

보안 팀은 다음 조치를 취해야 합니다:

1. 패치가 제공될 때까지 iSTAR 장치를 신뢰할 수 없는 네트워크로부터 격리
2. iSTAR 컨트롤러를 대상으로 하는 비정상적인 네트워크 트래픽 모니터링
3. 공급업체에서 제공하는 펌웨어 업데이트 즉시 적용
4. 무단 구성 변경 징후를 확인하기 위한 접근 로그 검토
5. 주요 물리적 보안 시스템의 노출을 제한하기 위한 네트워크 세분화

Johnson Controls는 이미 통보를 받았으며, 펌웨어 업데이트를 준비 중입니다. INCIBE-CERT는 추가 정보가 확인되는 대로 업데이트를 제공할 예정입니다. 자세한 내용은 원본 권고문을 참조하시기 바랍니다.

이 기사는 추가 정보가 확인되는 대로 업데이트될 예정입니다.