Valmet DNA 엔지니어링 웹 도구, 경로 탐색 공격 취약점 발견 (CVE 미할당)

Valmet DNA 엔지니어링 웹 도구, 경로 탐색 취약점 발견

스페인 마드리드 – 2026년 2월 20일 – INCIBE-CERT는 산업 프로세스 자동화 및 제어에 사용되는 Valmet DNA 엔지니어링 웹 도구에서 경로 탐색(path traversal) 취약점이 발견되었다고 경고했습니다. 현재 CVE 식별자가 할당되지 않은 이 취약점은 권한 없는 사용자가 제한된 디렉터리에 접근할 수 있으며, 민감한 시스템 파일이 노출될 위험이 있습니다.

기술적 세부 사항

이 취약점은 Valmet DNA 엔지니어링 도구의 웹 기반 인터페이스에서 디렉터리 접근 제어의 부적절한 제한으로 인해 발생합니다. 공격자가 영향을 받는 시스템에 네트워크 접근 권한을 보유하고 있다면, 이 취약점을 악용하여 의도된 제한 경로 외부의 디렉터리로 이동할 수 있으며, 구성 파일, 인증 정보 또는 기타 중요 데이터에 접근할 가능성이 있습니다.

• 영향을 받는 소프트웨어: Valmet DNA 엔지니어링 웹 도구
• 취약점 유형: 경로 탐색 (CWE-22)
• 영향: 무단 디렉터리 접근, 잠재적 데이터 노출
• CVSS 점수: 미할당 (높은 심각도 예상)
• 패치 상태: 미제공

영향 분석

Valmet DNA 엔지니어링 도구와 같은 산업 제어 시스템(ICS)은 펄프, 제지, 에너지 생산 등 다양한 산업 분야에서 핵심적인 역할을 수행합니다. 이 취약점이 성공적으로 악용될 경우 다음과 같은 위험이 발생할 수 있습니다:

• 민감한 운영 데이터에 대한 무단 접근
• 구성 파일이 변조될 경우 산업 프로세스 중단
• 노출된 인증 정보를 통한 네트워크 내 횡적 이동(lateral movement)

해당 소프트웨어가 OT(Operational Technology) 환경에서 사용된다는 점을 고려할 때, 데이터 노출을 넘어 물리적 피해로 이어질 수 있으며, 장비 손상이나 안전 사고로까지 확대될 수 있습니다.

보안 팀을 위한 권고 사항

INCIBE-CERT와 Valmet는 아직 패치를 제공하지 않았지만, 영향을 받는 소프트웨어를 사용하는 조직은 다음과 같은 조치를 취해야 합니다:

1. 네트워크 접근 제한

   • DNA 엔지니어링 웹 도구 인터페이스를 신뢰할 수 있는 네트워크로만 제한합니다.
   • 방화벽 규칙을 적용하여 웹 인터페이스 포트에 대한 무단 접근을 차단합니다.

2. 의심스러운 활동 모니터링

   • **침입 탐지/방지 시스템(IDS/IPS)**을 배포하여 경로 탐색 시도 감지합니다.
   • 제한된 디렉터리에 대한 비정상적인 접근 패턴을 로그에서 검토합니다.

3. 심층 방어 조치 적용

   • OT 네트워크를 기업 IT 네트워크와 분리하여 잠재적 침해를 containment 합니다.
   • 시스템과 상호 작용하는 사용자에게 **최소 권한 접근(least-privilege access)**을 적용합니다.

4. 패치 준비

   • Valmet 공식 채널을 모니터링하여 보안 업데이트가 출시되면 즉시 적용합니다.
   • 운영 중단을 방지하기 위해 패치를 비운영 환경에서 테스트한 후 배포합니다.

다음 단계

INCIBE-CERT는 CVE 식별자와 패치 세부 정보가 확인되는 대로 권고 사항을 업데이트할 예정입니다. Valmet DNA 엔지니어링 도구를 사용하는 조직은 이 문제를 높은 우선순위로 간주하고, 패치가 제공될 때까지 완화 조치를 적용해야 합니다.

자세한 내용은 INCIBE-CERT의 원본 권고 사항을 참조하시기 바랍니다.