페스토 디닥틱 MES PC, 취약한 XAMPP 스택과 함께 출하: CISA 권고(ICSA-26-027-02)

페스토 디닥틱 MES PC, 사전 설치된 취약한 XAMPP 스택 발견

미국 사이버보안 및 인프라 보안국(CISA)은 페스토 디닥틱 SE(Festo Didactic SE)의 제조 실행 시스템(MES) PC에서 보안 위험을 경고하는 권고문(ICSA-26-027-02)을 발표했습니다. 윈도우 10이 설치된 이들 시스템은 아파치 HTTP 서버(Apache HTTP Server), 마리아DB(MariaDB) 등 오픈소스 소프트웨어 스택인 XAMPP가 사전 설치된 상태로 출하됩니다.

기술적 세부 사항

XAMPP는 아파치(Apache), 마리아DB(MariaDB), PHP, 펄(Perl) 등을 포함한 널리 사용되는 개발 환경입니다. 개발자에게 편리한 도구이지만, 페스토 디닥틱 MES PC에 사전 설치된 XAMPP는 잠재적인 보안 위험을 초래합니다. 시간이 지남에 따라 아파치 HTTP 서버나 마리아DB와 같은 서드파티 구성 요소에서 취약점이 발견되어 산업 시스템이 사이버 위협에 노출될 수 있습니다.

CISA의 권고문에서는 이 구성과 관련된 구체적인 악용 사례나 CVE(Common Vulnerabilities and Exposures)를 명시하지 않았습니다. 그러나 운영 기술(OT) 환경에서 불필요한 소프트웨어가 존재하면, 특히 보안 강화가 중요한 산업 제어 시스템(ICS)에서 공격 표면이 확대될 수 있습니다.

영향 분석

MES PC에 XAMPP가 사전 설치됨으로써 발생할 수 있는 위험은 다음과 같습니다:

• 공격 표면 확대: 아파치나 마리아DB와 같은 불필요한 서비스가 포트와 서비스를 노출시켜 위협 행위자의 표적이 될 수 있습니다.
• 패치 관리 어려움: 서드파티 애플리케이션은 새로 발견된 취약점을 해결하기 위해 정기적인 업데이트가 필요하며, 이는 OT 유지 관리의 복잡성을 증가시킵니다.
• 규정 준수 문제: 산업 환경은 IEC 62443, NIST SP 800-82 등 엄격한 보안 표준을 준수해야 하며, 인가되지 않은 소프트웨어는 규정 준수 요구 사항을 위반할 수 있습니다.

권장 조치

CISA와 보안 전문가들은 다음과 같은 조치를 권장합니다:

1. 불필요한 소프트웨어 제거 또는 비활성화: MES 운영에 필요하지 않은 경우 XAMPP를 제거하거나 해당 구성 요소를 비활성화합니다.
2. 보안 강화 적용: CISA의 ICS 강화 가이드라인을 따라 OT 환경을 보호합니다.
3. 취약점 모니터링: XAMPP 구성 요소(아파치, 마리아DB)의 업데이트를 추적하고 신속하게 패치를 적용합니다.
4. 네트워크 세분화: 공격자의 횡적 이동을 제한하기 위해 MES PC를 중요 ICS 네트워크에서 격리합니다.
5. 설치된 소프트웨어 감사: OT 시스템에 설치된 애플리케이션을 정기적으로 검토하여 불필요한 소프트웨어를 식별하고 제거합니다.

자세한 기술 정보는 이 권고와 관련된 CSAF 문서를 참조하세요.

CISA에서 2026년 2월 7일 원본 권고문을 발표했습니다.