오라클, PeopleSoft 제로데이 취약점 경고…‘ShinyHunters’가 100곳 이상 침해에 악용

오라클(Oracle)이 기업용 인사·급여 관리 소프트웨어 PeopleSoft에서 발견된 치명적인 취약점을 고객들에게 경고했다. TechCrunch에 따르면, 이 취약점은 해커 단체 ShinyHunters가 대규모 침해 캠페인에 악용해 100곳 이상의 조직을 뚫은 것으로 주장되며, 오라클은 현재 시점에서 패치(수정) 공개 전 고객이 우회·완화 조치를 적용해야 한다고 권고했다.

인증 없이 인터넷에서 악용 가능한 ‘제로데이’

오라클이 발표한 보안 권고문에 따르면 해당 문제는 PeopleSoft 서버에서 인터넷을 통해 인증 절차 없이도 악용이 가능할 수 있는 유형으로 분류된다. 오라클은 고객사에 대해 즉시 완화 조치(미티게이션)를 적용해 외부에서의 공격 시도를 차단하라고 권고했으며, 취약점이 ‘제로데이(공격자에게 먼저 알려지고, 공급사가 즉시 고칠 시간이 부족했던 결함)’ 성격을 띠는 점이 우려의 핵심이다.

제로데이는 패치 적용 전 기간에 공격이 집중될 가능성이 커, 특히 널리 사용되는 기업 시스템에서 위험도가 급격히 상승한다. PeopleSoft는 수많은 대기업이 급여·인사·학적 정보 등 핵심 데이터를 처리하는 데 사용하는 제품군인 만큼, 성공적인 침해는 데이터 유출과 운영 중단으로 직결될 수 있다.

Google 산하 Mandiant “ShinyHunters와 동일한 버그” 확인

구글이 인수한 보안 조사 조직 Mandiant는 블로그 게시물을 통해 이번 오라클 취약점이 ShinyHunters가 악용 중인 버그와 동일하다고 밝혔다. Mandiant는 취약 가능성을 이유로 전 세계 100곳 이상의 조직에 통지했다고 전했다. 또한 이들 중 약 3분의 2가 고등교육(대학·학교) 분야라는 점도 언급했다. TechCrunch 보도에 따르면 ShinyHunters가 과거 공격 대상과 관련해 내놓은 주장과도 결이 맞는다.

Mandiant는 일부 조직은 공격을 차단하거나 취약점 대응에 성공했지만, 그렇지 못한 조직에서는 침해가 발생해 데이터가 ShinyHunters의 유출(리크) 웹사이트에 게시되는 일이 있었다고 설명했다. 이는 단순한 계정 침해가 아니라, 내부 데이터에 접근한 뒤 유출 협박 또는 몸값 요구로 이어지는 전형적인 랜섬웨어·데이터 익스필트레이션 패턴과 맞물린다.

공격자는 어떻게 침해했나: 미리 뚫린 취약점이 관건

TechCrunch에 따르면, ShinyHunters 측에 속한 것으로 주장되는 멤버는 지난주 PeopleSoft 서버의 패치되지 않은 결함을 악용해 회사들을 침해했다고 말했다. PeopleSoft 고객들이 공격을 막지 못했을 때 공격자는 인터넷을 통해 직접 취약한 서버에 접근해 초기 침투를 시도할 수 있다.

해커 측은 피해 조직의 일부가 교육기관일 수 있음을 시사하기도 했다. TechCrunch는 공격자가 특정 학교에 보낸 것으로 보이는 메시지를 공유했다고 전했는데, 여기에는 “여러 캠퍼스에 걸쳐 학생 이름, 주소, 전화번호, 이메일, 생년월일, 성별, 인종, 재학 상태, 학업 성적(GPA), 전공, 학생 ID 등 수십만 건의 학생 기록”을 확보했다고 주장하는 내용이 포함됐다.

왜 이번이 더 문제인가: 공용 소프트웨어의 ‘연쇄 피해’

이번 사건은 ShinyHunters가 공통으로 쓰이는 기업·산업 소프트웨어의 취약점을 찾아 대규모로 확산시키는 방식이 다시 확인된 사례로 보인다. TechCrunch 및 Mandiant의 설명을 종합하면 ShinyHunters는 특정 공급사의 제품군을 중심으로 반복적으로 공격해 왔으며, 피해 조직이 늘어날수록 유출 규모와 협박 압박도 커진다.

더 큰 문제는 기업 고객이 취약점을 파악하고 대응하는 데 걸리는 시간이다. 공급사가 패치를 내놓기 전, 또는 고객이 내부 시스템 우선순위를 조정해 완화 조치를 적용하기까지의 공백이 공격자에게는 ‘기회’가 된다. 오라클이 패치 공개 전에 완화 조치를 주문한 배경이 바로 이 지점이다.

What’s Next: 패치·완화 조치 적용과 추가 감염 점검

향후 관건은 오라클의 공식 패치 제공 일정과 고객사가 얼마나 빠르게 권고된 미티게이션을 적용했는지다. 보안 업계에서는 우선 방화벽·접근제어 설정 강화, 취약 경로 차단, 로그 점검, 의심 트래픽 분석 같은 기본 대응이 중요하다고 본다.

또한 피해 가능성이 있는 조직은 침해 여부를 단순 로그인 성공 여부로 판단하면 안 된다. Mandiant가 언급한 것처럼 일부 조직은 유출까지 이어졌을 수 있기 때문에, 권한 상승·데이터 접근·외부 반출 징후를 포함한 심층 포렌식(포렌식 조사)과 장기 모니터링이 필요하다. 이번 사건이 확산되는 속도에 따라 오라클과 보안 당국의 후속 공지(영향 범위·IOC 제공)가 뒤따를 가능성도 있다.