EnOcean Edge SmartServer IoT의 중대 취약점, 산업 시스템 공격 노출 우려

스페인 마드리드 – 2026년 2월 20일 – **스페인 국가 사이버보안 연구소(INCIBE)**는 산업용 IoT(IIoT) 환경에서 널리 사용되는 EnOcean Edge Inc.의 SmartServer IoT에 다수의 고위험 취약점이 존재한다고 긴급 경보를 발령했습니다. CVE-2026-23456부터 CVE-2026-23460으로 추적되는 이 취약점들은 공격자가 원격 코드 실행, 운영 중단, 또는 중요 인프라에 대한 무단 접근을 가능하게 할 수 있습니다.

기술적 세부 사항

이 취약점들은 SmartServer IoT 4.5.2 이전 버전에 영향을 미치며, 다음과 같은 주요 문제가 확인되었습니다:

• CVE-2026-23456 (CVSS 9.8): 웹 인터페이스로 전송된 조작된 HTTP 요청을 통한 인증되지 않은 원격 코드 실행(RCE). webserver 구성 요소의 버퍼 오버플로우를 악용하여 시스템 전체를 장악할 수 있습니다.
• CVE-2026-23457 (CVSS 8.6): 악의적으로 조작된 MQTT 패킷을 통한 서비스 거부(DoS) 공격. mqtt-broker 서비스를 충돌시켜 IoT 장치 간 통신을 중단시킵니다.
• CVE-2026-23458 (CVSS 7.5): REST API의 부적절한 인증으로 인해 공격자가 인증을 우회하고 민감한 장치 설정에 접근할 수 있습니다.
• CVE-2026-23459 (CVSS 7.2): 관리자 대시보드의 **저장형 크로스사이트 스크립팅(XSS)**으로 인해 악의적인 페이로드를 통해 세션 하이재킹이 가능합니다.
• CVE-2026-23460 (CVSS 6.5): 펌웨어 내 하드코딩된 자격 증명으로 인한 정보 유출. 기본 관리자 비밀번호가 평문으로 노출됩니다.

이 취약점들은 INCIBE-CERT가 정기 보안 평가 중에 발견하였으며, EnOcean Edge는 SmartServer IoT v4.5.2에서 패치를 배포했습니다.

영향 분석

SmartServer IoT는 스마트 빌딩, 산업 자동화, 에너지 관리 시스템에서 널리 사용되며, BACnet, Modbus, LonWorks 프로토콜과 통합되는 경우가 많습니다. 이러한 취약점의 악용은 다음과 같은 결과를 초래할 수 있습니다:

• 중요 인프라(예: HVAC, 조명, 출입 통제 시스템)의 운영 중단.
• 손상된 IoT 장치를 통한 기업 네트워크로의 횡적 이동.
• 산업 텔레메트리 또는 사용자 자격 증명과 같은 민감한 데이터 유출.
• 연결된 시스템 조작(예: 화재 경보기 또는 보안 카메라 비활성화)으로 인한 물리적 안전 위험.

INCIBE는 CVE-2026-23456 및 CVE-2026-23457에 대한 공격 개념 증명(PoC) 코드가 지하 포럼에서 이미 유포되고 있어, 패치 적용의 긴급성이 높아졌다고 경고합니다.

권고 사항

보안 팀 및 산업 운영자는 다음 조치를 취할 것을 권고합니다:

1. SmartServer IoT v4.5.2 이상으로 즉시 업그레이드 (EnOcean Edge 지원 포털 참조).
2. 패치가 적용될 때까지 SmartServer IoT 장치를 기업 네트워크에서 격리 (VLAN 또는 방화벽 사용).
3. 비정상적인 MQTT/HTTP 요청 또는 무단 API 접근을 탐지하기 위해 네트워크 트래픽 모니터링.
4. 모든 기본 자격 증명 변경 및 관리자 인터페이스에 다중 인증(MFA) 적용.
5. 특히 BACnet 또는 Modbus 프로토콜을 사용하는 IoT 장치의 침해 징후 점검.

추가 안내는 INCIBE의 권고(INCIBE-CERT-2026-0045) 또는 **CISA의 ICS 경보(ICS-ALERT-2026-0220)**를 참조하시기 바랍니다.

---

본 권고는 INCIBE의 협력 공개 절차에 따라 발행되었으며, EnOcean Edge는 취약점을 인정하고 해결을 위해 협력했습니다.