TRUMPF 제품, 권한 상승 취약점 영향 (CVE 미할당)

TRUMPF 산업 시스템, 권한 상승 취약점 발견

스페인 마드리드 – 2026년 2월 24일 – INCIBE-CERT는 TRUMPF 산업 제품에 영향을 미치는 권한 상승 취약점(Privilege Escalation Vulnerability)에 대한 보안 권고문을 발표했습니다. 현재 CVE 식별자가 할당되지 않은 이 결함은 공격자가 영향을 받는 시스템에 대해 비인가 관리자 접근 권한을 획득할 수 있는 위험을 내포하고 있습니다.

기술적 세부 사항

INCIBE-CERT의 권고문에 따르면, 구체적인 기술적 세부 사항은 아직 제한적이지만, 이 취약점은 TRUMPF의 소프트웨어 또는 펌웨어 내 부적절한 접근 제어 메커니즘에서 기인한 것으로 나타났습니다. 공격자는 이를 악용하여 다음과 같은 행위를 수행할 수 있습니다:

• 낮은 권한의 사용자에서 관리자 수준의 접근 권한으로 권한 상승
• 상승된 권한으로 임의 코드 실행
• 산업 제어 프로세스의 무결성 침해

이 권고문에서는 영향을 받는 제품 버전이나 원격으로 악용 가능한지의 여부는 명시되지 않았습니다. 그러나 산업 환경에서의 권한 상승 취약점은 일반적으로 로컬 접근 또는 다른 취약점(예: 피싱, 원격 코드 실행)과의 연계가 필요한 경우가 많습니다.

영향 분석

산업용 레이저 및 공작 기계 시스템의 선도 제조업체인 TRUMPF는 다음과 같은 주요 분야에서 사용됩니다:

• 제조업 (자동차, 항공우주)
• 에너지 (태양광, 배터리 생산)
• 의료 기기 제조

이 취약점을 성공적으로 악용할 경우 다음과 같은 결과가 발생할 수 있습니다:

• 운영 중단 (생산 매개변수의 비인가 변경)
• 데이터 유출 (독점 설계 또는 프로세스 데이터 도난)
• 안전 위험 (고출력 산업 장비 조작)

산업 네트워크에서 횡적 이동(Lateral Movement)의 가능성을 고려할 때, 이 결함은 TRUMPF 시스템을 정밀 제조에 활용하는 조직에 중대한 위험을 초래합니다.

권장 조치

INCIBE-CERT는 영향을 받는 조직에 다음과 같은 조치를 취할 것을 권고합니다:

1. TRUMPF에서 패치를 릴리스하는 즉시 즉각 적용 (TRUMPF 보안 포털 모니터링).
2. 네트워크 세분화 및 최소 권한 원칙을 통해 TRUMPF 시스템에 대한 접근 제한.
3. 비정상적인 권한 상승 시도 또는 비인가 구성 변경과 같은 의심스러운 활동 모니터링.
4. 예상치 못한 관리자 계정 생성 또는 권한 변경과 같은 악용 징후를 감사 로그 검토.

보안 팀은 특히 TRUMPF 장비가 광범위한 운영 기술(OT) 네트워크에 통합된 산업 제어 시스템(ICS) 환경에서 이 취약점을 우선적으로 처리해야 합니다.

자세한 내용은 INCIBE-CERT의 원본 권고문을 참고하시기 바랍니다.