2026년 7월 17일, 팔로알토네트웍스 위협 연구팀 Unit42가 지멘스 산업용 스위치 Ruggedcom ROX II를 겨냥한 취약점 3개의 공격 경로를 공개했다. 개별 심각도는 CVSS 6.8·7.5·9.1로 중간에서 심각 사이다. 하지만 낮은 권한 계정 하나만 있으면 이 셋을 순서대로 밟아 root 권한, 그것도 재부팅 후에도 사라지지 않는 영속 실행까지 도달한다. 패치는 이미 5월에 나왔는데 왜 7월에야 상세 분석이 공개됐을까. 답은 이 스위치들이 놓인 자리에 있다.
통념: 인증이 필요하면 그나마 안전하다
일반적으로 "인증된 접근이 필요하다"는 조건은 위험도를 낮추는 요소로 여겨진다. 실제로 세 취약점 중 과 는 이미 높은 권한 계정을 전제로 한다. 언뜻 보면 이미 뚫린 시스템에서나 의미 있는 취약점처럼 보인다.
실제: 낮은 권한 계정 하나가 root로 가는 입장권이 된다
체인의 시작점인 은 낮은 권한(PR:L) 인증 계정만 있으면 된다. 지멘스 advisory에 따르면 특성 키(feature key) 설치 과정에서 사용자 입력을 제대로 살균하지 않아, 명령 삽입과 root 권한 원격 코드 실행이 가능하다.
일단 root 권한을 확보하면 나머지 둘은 자연히 따라온다. 은 xz 유틸리티 설정 오류를 이용해 임의 파일을 읽어 설정값과 크리덴셜을 확보한다. 는 스케줄러(태스크 스케줄링 백엔드)에 명령을 심어, 기기를 재부팅해도 공격자의 실행 코드가 살아남게 만든다.
낮은 권한 계정이 필요하다는 조건은 완전 무인증 원격 공격보다는 덜 위협적으로 들린다. 하지만 내부자 계정, 탈취된 벤더 계정, 다른 경로로 확보한 로그인 정보 하나만 있으면 이 3단계는 순서대로 작동한다. 인증이 필요하다는 조건이 안전하다는 뜻은 아니다.
왜 하필 산업용 스위치인가
Ruggedcom ROX II는 일반 사무실 네트워크 장비가 아니다. 지멘스는 이 제품군을 전력망·철도·오일가스 등 가혹한 환경 네트워크용으로 소개한다. 전력망은 IEC 61850-3·IEEE 1613, 철도는 EN 50121-4·EN 50155 인증을 충족한다. 실제로 호주 원남불(Warrnambool) 철도 노선 한 곳에만 이 계열 장비 200대 이상이 신호·열차 제어망에 통합돼 있다.
이런 스위치 한 대가 뚫리면 피해 범위는 사무실 PC 한 대와 다르다. 신호 체계나 변전소 제어망에 닿아 있는 통신 경로 자체가 공격자의 손에 들어간다.
패치는 나왔는데, 왜 두 달 뒤에야 알려졌나
지멘스는 이미 2026년 5월 12일 패치(V2.17.1)를 배포했다. Unit42의 상세 기술 분석은 두 달 뒤인 7월 17일에야 공개됐다. 이 시차 자체가 운영기술(OT) 환경의 특성을 보여준다. 전력망·철도 인프라는 계획된 정비창이 드물고, 패치 하나를 적용하려면 안전성·신뢰성 회귀 테스트를 먼저 거쳐야 한다. 그 사이 취약점은 존재하지만 아직 패치되지 않은 상태로 남는다.
이런 지연이 실제 침해로 이어진 사례도 있다. 2024년 중국 포시(Four-Faith)의 산업용 라우터()는 기본 계정이 그대로 방치된 채 최소 1만 5천 대가 인터넷에 노출됐다. 이 장비들은 Mirai 계열 악성코드의 감염 시도 대상이 됐다. 제조사는 취약점 통보 이후에도 한동안 패치를 내놓지 못했다.
실용 관점: 무엇을 확인해야 하나
Unit42는 탐지 단서 몇 가지를 공개했다. 설정 파일이나 스케줄러 설정에 예상치 못한 스크립트나 명령어가 주입돼 있는지, 권한 설정 데몬이 비정상적으로 xz 유틸리티를 실행하는지가 첫 단서다. 팔로알토는 이 패턴에 대응하는 NGFW 시그니처(97246·97250·97249)도 함께 공개했다.
한국의 특정 기관이 이 취약 모델(Ruggedcom ROX MX·RX 계열)을 도입했다는 사실은 확인되지 않는다. 다만 KISA는 2025년 12월 22일 전력망·철도 등 국내 OT 환경을 겨냥한 OT 제로트러스트 적용 가이드를 발표하며, 이런 산업 장비 보안을 정책적으로 다루기 시작했다.
계정 하나, 3단계, root 권한. 지멘스 패치는 이미 나왔지만 그 패치가 실제로 이 스위치들에 적용됐는지는 별개의 질문으로 남는다.