ShinyHunters, 오라클 피플소프트 서버 해킹 주장…전 세계 100여 개 기관 피해 및 FBI 표적 시도 드러나

교육 기관뿐만 아니라 소프트웨어/기술, 금융 서비스, 의료, 에너지, 물류, 부동산 등 사회 기반 시설 전반에 걸쳐 피해가 발생한 것으로 파악된다 .
참고로, ShinyHunters는 지난 18개월 동안 칸바스(Canvas)로 유명한 교육 기술 기업 인스트럭처(Instructure), 미국 대형 통신사 차터 커뮤니케이션즈(Charter Communications), 캐나다 통신사 텔러스 디지털(Telus Digital), 그리고 자라(Zara), 세븐일레븐(7-Eleven), 카니발(Carnival), 바이테레사(Mytheresa), ADT, 유데미(Udemy), 록스타 게임즈(Rockstar Games), 메드트로닉(Medtronic), 알리안츠 생명(Allianz Life), 아메리프라이즈(Ameriprise) 등 내로라하는 글로벌 기업들을 잇달아 공격하며 그 위세를 떨쳐왔다 .

어떤 데이터가 털렸나? – 학생 기록부터 인증 토큰까지

공격자들이 손에 넣었다고 주장하는 데이터는 개인 식별 정보부터 기업 핵심 인증 체계까지 광범위하다.

• 개인 식별 정보(PII): 이름, 이메일 주소, 전화번호, 실제 주소 등
• 인사·재무 기록: 피플소프트 시스템 내 급여 및 인사 데이터
• 학생 및 교직원 기록: 칸바스/인스트럭처 침해 사건에서 탈취한 수억 건의 기록
• 인증 토큰: 추가 공격을 위한 징검다리로, 세일즈포스(Salesforce) 등 다른 클라우드 환경에 연쇄 침투하는 데 악용됨

FBI 서버가 원래 목표였다? – ‘스와팅’ 부인하려던 속내

이번 사건에서 가장 충격적인 대목 중 하나는 ShinyHunters의 애초 목표였다. 그룹의 한 멤버가 TechCrunch에 밝힌 바에 따르면, 이들의 원래 계획은 FBI의 피플소프트 서버를 해킹하는 것이었다 . 그 이유는 최근 FBI가 공개 경고한 일련의 스와팅(Swatting), 즉 허위 신고로 무장 경찰을 출동시키는 범죄와 관련해 자신들이 연루되지 않았음을 공식 부인하는 성명을 FBI 시스템을 통해 게시하기 위해서였다 . FBI는 당시 경고문에서 ShinyHunters와 연계된 세력이 이러한 스와팅 공격에 가담했다고 지목한 상태였다. 그러나 이 대담한 FBI 서버 침투 시도는 결국 실패로 돌아갔다고 해당 멤버는 전했다 .

오라클의 대응 – 침묵 속 긴급 패치

2026년 6월 10일~11일 현재까지, 오라클은 ShinyHunters의 피플소프트 침해 주장에 대한 공식 입장을 내놓지 않고 있다 . 하지만 그 이면에서는 발 빠른 기술적 조치가 취해졌다. 오라클은 2026년 6월 10일, 치명적 취약점 CVE-2026-35273에 대한 보안 경보를 발령했다. 이 취약점은 CVSS 점수 9.8점으로, 인증 없이 원격에서 악용 가능하며 성공 시 원격 코드 실행으로 이어질 수 있는 매우 위험한 결함이다 . 보안 연구원들과 BleepingComputer는 이 패치가 바로 ShinyHunters가 이번 침투 캠페인에서 사용했을 가능성이 높은 경로를 차단한 것으로 분석하고 있다 .

이번 사태는 공격자들의 기술 수준과 대담함을 여실히 보여줌과 동시에, 광범위하게 사용되는 기업용 소프트웨어의 보안 취약점이 얼마나 심각한 파급력을 지닐 수 있는지를 다시 한번 일깨워준다.