Schneider Electric, EcoStruxure Process Expert의 주요 취약점 패치

Schneider Electric은 EcoStruxure Process Expert 및 AVEVA System Platform용 EcoStruxure Process 제품에서 발견된 주요 취약점(CVE-2026-23080)을 해결하기 위한 보안 업데이트를 배포했습니다. **사이버보안 및 인프라 보안국(CISA)**이 공개한 이 취약점은 악용될 경우 공격자가 원격에서 임의 코드를 실행할 수 있는 위험이 있습니다.

기술적 세부 사항

이 취약점(ICSMA-26-022-01)은 부적절한 입력 검증(improper input validation) 문제로 분류되며, **CVSS v3.1 기준 점수 9.8(심각)**을 기록했습니다. 영향을 받는 제품 버전은 다음과 같습니다:

• EcoStruxure Process Expert (v2023 이전 모든 버전)
• EcoStruxure Process (v2023 이전 모든 버전)

이 취약점이 성공적으로 악용될 경우, 공격자는 원격 코드를 실행하여 산업 제어 환경에서 불법 시스템 접근, 프로세스 중단, 또는 데이터 조작과 같은 피해를 유발할 수 있습니다. 현재까지 공개된 악용 사례나 활성 공격은 보고되지 않았습니다.

영향 분석

EcoStruxure Process Expert는 에너지, 수자원, 제조 등 중요 인프라 분야에 널리 배포되어 있습니다. 시스템이 침해될 경우 다음과 같은 위험이 발생할 수 있습니다:

• 산업 프로세스에서의 운영 중단
• 제어 시스템 조작으로 인한 안전 위험
• 민감한 프로세스 데이터 유출 시 데이터 유출

권고 사항

Schneider Electric은 사용자에게 즉시 v2023 이상으로 업그레이드할 것을 강력히 권장합니다. 추가적인 완화 조치로는 다음이 포함됩니다:

• 영향을 받는 시스템을 신뢰할 수 없는 네트워크로부터 격리
• 네트워크 세분화를 통해 횡적 이동 제한
• OT 환경에서의 의심스러운 활동 모니터링

전체 기술 세부 사항은 CISA 권고문 또는 CSAF 문서를 참고하시기 바랍니다.

이번 취약점은 레거시 시스템이 현대 보안 제어를 갖추지 못한 OT 환경에서 신속한 패치가 얼마나 중요한지를 다시 한번 강조합니다.