샤이니헌터스, 오라클 피플소프트 취약점 악용해 100곳 이상 대학 해킹

교육 기관이 주요 표적이었다

이번 공격의 최대 피해자는 단연 대학들이었다. 샤이니헌터스는 2026년 초 캔버스/인스트럭처(Canvas/Instructure) 및 세일즈포스 익스피리언스 클라우드(Salesforce Experience Cloud)를 대상으로 벌였던 공격 패턴을 이어가며 고등 교육 기관에 공격을 집중했다 .

노팅엄 대학교(The University of Nottingham)는 침해 사실을 공식 인정했다. 공격자들은 2026년 5월 말, 오라클 피플소프트로 운영되는 이 대학의 캠퍼스 솔루션(Campus Solutions) 학생 기록 시스템에 침투했다 . 샤이니헌터스가 공개한 유출 데이터 표본에는 학생, 지원자, 장학금, 출입국, 건강, 그리고 행정 기록까지 포함되어 있었다 . 해킹 그룹은 영국 본교는 물론 말레이시아와 중국 캠퍼스의 청구·결제 기록, 신용카드 정보, 학생 재정 데이터 등 40GB 이상의 민감한 정보를 탈취했다고 주장했다 .

변화하는 범죄 수법: 보이스피싱에서 제로데이로

이번 피플소프트 공격은 샤이니헌터스에게 있어 의미심장한 전술적 전환점을 보여준다. 2025년과 2026년 초반만 해도 이들은 거의 전적으로 계정 탈취와 접근 권한 남용—보이스피싱, 사회공학적 기법, 오크타(Okta) SSO 탈취, 오오스(OAuth) 토큰 악용 등—에 의존해 조직을 침해했다 . 맨디언트(Mandiant)와 구글 위협 인텔리전스 그룹의 보고서에 따르면, 샤이니헌터스는 IT 헬프데스크 직원을 사칭해 직원들을 회사 로고가 박힌 피싱 사이트로 유도하고, 싱글 사인온(SSO) 자격 증명과 다중 인증(MFA) 코드를 가로채는 방식으로 활동했다 .

크로스워크(The Crosswalk)의 위협 인텔리전스 브리핑은 샤이니헌터스가 "소프트웨어 취약점을 거의 악용하지 않는다"고 단언하며, 이들이 헬프데스크 인증, 직원 다중 인증, 그리고 서드파티 SaaS 오오스 토큰을 주로 악용한다고 분석한 바 있다 . 하지만 이번 피플소프트 공격은 그 모든 분석을 뒤집고, 이전에는 볼 수 없었던 제로데이를 포함한 진짜 소프트웨어 취약점을 공격에 사용함으로써 완전히 새로운 국면을 맞이하게 했다 .

오라클과 영국 당국: 아직 조용한 대응

2026년 6월 10일 현재까지, 오라클은 이번 피플소프트 캠페인과 관련된 공식 성명이나 보안 권고문을 내놓지 않았다. 이번 공격에 대응하기 위한 패치가 발표되거나 확인된 바도 없다 .

영국 정보위원회(ICO)와 법 집행 기관을 포함한 영국 당국도 이 사건에 대한 구체적인 공식 논평을 아직 내놓지 않고 있다. 노팅엄 대학교는 학생들에게 직접 이 사실을 알리고 조사를 위해 일시적으로 시스템을 오프라인으로 전환하는 등 자체적으로 사건 초기 대응을 진행했다 .

침해 지표(IoC): 무엇이 공개되었나

아직 보안 업계에서 이번 캠페인과 직접적으로 연결된 IP 주소나 파일 해시 같은 피플소프트 특화 침해 지표(IoC)는 널리 공개되지 않았다. 헌트레스(Huntress)는 샤이니헌터스 인프라와 관련된 네트워크 지표가 포함된 광범위한 위협 행위자 프로필을 발표했지만, 이는 SaaS 중심 캠페인과 관련된 것으로 피플소프트 악용 자체에 특화된 것은 아니다 . 크로스워크 브리핑 또한 샤이니헌터스의 전형적인 수법인 '계정 남용'은 소프트웨어 취약점 특화 IoC를 거의 만들어내지 않기 때문에, 방어적 추적을 더욱 어렵게 만든다고 지적한다 .

샤이니헌터스의 2026년 공격 확대: 대규모 갈취의 패턴

이번 피플소프트 캠페인은 한 해 동안 이어진 극심한 공세의 연장선상에 있다:

• 2026년 초: 세일즈포스 익스피리언스 클라우드의 설정 오류를 악용한 AuraInspector 캠페인으로, 샤이니헌터스는 약 400개 조직이 피해를 입었다고 주장 .
• 2026년 2월: 윈 리조트(Wynn Resorts) 침해 사고로 80만 건 이상의 직원 기록이 유출되었으며, 초기 침투 경로 역시 오라클 피플소프트 취약점과 연관됨 .
• 2026년 4월–5월: 캔버스/인스트럭처 학습 관리 시스템(LMS) 침해 사고—사상 최대 규모의 교육 부문 데이터 탈취 사건으로, 샤이니헌터스는 약 8,000~9,000개 기관에서 2억 7,500만 건의 기록을 탈취했다고 주장 .
• 2026년 5월–6월: 차터 커뮤니케이션즈(Charter Communications) 침해 사고로 490만 건의 고객 기록 유출 .
• 2026년 6월: 오라클 피플소프트 캠페인으로 100곳 이상의 조직과 300개 이상의 인스턴스가 피해를 입음 .

버라이즌(Verizon)의 '2026 데이터 유출 조사 보고서(DBIR)'는 구조적 변화를 확인시켜 주었다. 보고서에 따르면, 19년 만에 처음으로 '취약점 악용'이 '탈취된 자격 증명'을 제치고 가장 주된 침해 경로로 떠올랐다 . 샤이니헌터스가 기존의 계정 남용 대신 실제 취약점 연쇄 공격으로 전환한 것은 이러한 거시적 흐름과 일치하며, 널리 사용되는 기업용 플랫폼을 겨냥한 대규모 병렬 공격이 앞으로도 계속될 것이라는 신호를 보낸다.

대학들에게 이번 사건이 주는 교훈은 명확하다. 캔버스나 피플소프트와 같은 통합 소프트웨어 공급망은 원격 수업과 학사 운영에 필수적인 존재가 되었지만, 공격자가 패치되지 않은 단 하나의 취약점만 찾아내면 수천 개의 기관이 재앙적 피해를 입을 수 있는 치명적인 단일 장애점(Single Point of Failure)이기도 하다는 점이다 .