악명 높은 해커그룹, 오라클 PeopleSoft 서버 100곳 이상 침해 주장…교육기관에 집중

악성 해커로 알려진 샤이니 헌터스(ShinyHunters)가 오라클의 엔터프라이즈 소프트웨어 PeopleSoft 서버를 100곳 이상 침해했다고 주장했다. 이들 공격에는 대학 등 교육기관이 다수 포함됐으며, 해커 측은 일부 피해자들로부터 학생·지원자·재정원조·이민·보건·행정 데이터가 유출됐다고도 언급했다. TechCrunch는 이 주장이 BleepingComputer의 보도에 이어, 샤이니 헌터스 구성원 발언을 통해 추가로 전해졌다고 전했다.

이번 사안은 기업용 인사·급여·행정 시스템처럼 “사내 핵심”에 가까운 소프트웨어가 대규모로 노출될 때, 개인정보 범위가 넓어지고 피해가 연쇄적으로 확산될 수 있음을 다시 확인시켜 준다는 점에서 주목된다. 오라클 PeopleSoft는 급여, 인사, 행정 처리 전반을 관리하는 데 널리 쓰이는 시스템으로, 공격자가 이 계열을 노리면 개인 데이터가 한 번에 대량으로 새어 나갈 가능성이 커진다.

“학생 기록 포함” — 해커가 제시한 유출 범위

TechCrunch에 따르면, 샤이니 헌터스의 한 구성원은 오라클 PeopleSoft 서버가 100곳 이상에서 침해됐다고 주장했다. 해커 측은 학생 기록과 관련해 집 주소, 전화번호, 이메일, 생년월일 등의 정보가 포함됐다고 말했다. 또 “학생/지원자/재정원조/이민/보건/행정 데이터가 유출됐다”는 문구가, 피해자 중 한 곳에 전달된 메시지에 포함돼 있었다고 전해졌다.

구체적으로는 유출된 데이터가 단순 신원정보에 그치지 않고, 학업·행정 처리와 연동된 민감한 개인정보로 확장될 수 있다는 점이 문제다. 교육기관의 경우 학생·지원자의 개인정보뿐 아니라 재정원조, 이민 관련 서류, 건강 관련 정보가 섞일 수 있어, 유출 시 사칭·피싱·금융 범죄·사회적 공학 공격의 표적이 되기 쉽다.

“이미 다른 캠페인으로 뚫린 곳이 많다”는 주장

해커 측은 이번 타깃이 상대적으로 일회성 신규 침해라기보다, 과거의 다른 공격 캠페인에서 이미 일부 피해를 본 기관이 다시 노출됐을 가능성을 시사했다. TechCrunch 보도에 따르면, 샤이니 헌터스 구성원은 “대부분의 표적 학교들이 이전의 무관한 캠페인으로 이미 침해된 상태였다”는 취지의 발언을 했다.

이는 조직 내부에서 패치·점검이 충분히 이뤄지지 않거나, 이전 사건 이후에도 취약 지점 또는 접근 통제가 제대로 정리되지 않았을 때 공격자가 반복해서 파고들 수 있음을 보여준다. 특히 PeopleSoft 같은 핵심 업무 시스템은 운영 중단 비용이 크기 때문에, 보안 업데이트가 지연되거나 예외가 생기기 쉽다는 점도 위험 요인으로 지목된다.

FBI PeopleSoft 서버를 노리려 했다는 ‘목표’…진위는 별개

샤이니 헌터스 측은 애초에 공격 목표로 FBI의 PeopleSoft 서버를 염두에 뒀다고 주장했다. 구성원은 이를 “일종의 성명” 목적과 연결해 설명했는데, 지난달 미국에서 발령된 경보와 관련된 스와팅(swating) 시도를 부인하는 메시지를 게시하려 했다는 맥락이다. 다만 TechCrunch는 해당 시도가 실패했다고 전했다.

다만, 해커 그룹의 주장은 자사 과시 또는 협상·영업을 위한 수사일 수 있다. 따라서 “100곳 이상 침해” 같은 수치 자체는 공식 검증이 이뤄져야 확정적 결론을 내릴 수 있다. 그럼에도 불구하고 공격자가 PeopleSoft 계열을 대규모로 거론하며 데이터 유출 범위를 언급했다는 점은, 피해 가능성을 가정한 보안 점검이 시급하다는 신호로 해석된다.

오라클은?…공식 대응은 아직

TechCrunch는 오라클에 코멘트를 요청했으나, 아직 답변을 받지 못했다고 전했다. 이런 가운데 각 기관은 유출 사실 여부 및 노출 범위를 가려내기 위해 기술적·관리적 조사를 병행해야 한다. 특히 PeopleSoft와 연동된 인증 체계, 외부 노출 URL/포트, 계정 권한, 비정상 접근 로그, 데이터 전송 흔적 등을 우선 확인할 필요가 있다.

이번 사건이 공식적으로 확인되거나, 별도 정황에서 동일한 침투 흔적이 발견될 경우 교육기관을 중심으로 한 추가 피해도 우려된다. 샤이니 헌터스가 “대중적으로 반복되는 취약점 공략”을 전략으로 삼아 왔다는 점을 고려하면, 한 기관의 대응이 다른 기관으로의 확산을 막는 데 중요해진다.

What’s Next: 피해 조사와 패치 우선순위가 관건

향후 관건은 두 가지다. 첫째, 실제 침해 여부와 유출 데이터의 범위(개인정보 항목별)는 얼마나 정밀하게 규명되는지다. 둘째, 취약 원인이 무엇이었는지(구체적 패치 지연, 구성 오류, 계정 보안 결함, 외부 접근 경로 등)가 밝혀지면 유사 환경을 가진 기관들의 신속한 점검 우선순위가 정해진다.

보안업계는 보통 이런 대규모 주장 이후 “동종 시스템을 가진 다수 조직”이 동일한 점검 체크리스트를 가동하는 흐름을 보인다. 교육기관의 경우 학생·지원자 개인정보의 규모가 큰 만큼, 단순 공지 수준이 아니라 장기적인 모니터링(계정 이상 탐지, 피싱·사칭 모니터링, 법적·규제 대응)을 포함한 대응 계획이 요구될 가능성이 높다.