ShinyHunters, 오라클 피플소프트 제로데이 취약점 악용해 전 세계 100여 개 기관 침해

오라클은 트렌드에이아이 제로데이 이니셔티브(TrendAI Zero Day Initiative)와 트렌드에이아이 리서치(TrendAI Research) 소속 연구원들에게서 이 취약점을 보고받았다고 밝혔습니다 . 네트워크만 연결되어 있으면 아무런 장벽 없이 뚫을 수 있는 이 구조적 결함은, 공격자들에게 알려지는 순간 ‘표적 학살’이 시작될 완벽한 조건을 갖추고 있었습니다.

패치 없는 2주: 공격은 어떻게 전개되었나

구글의 보안 회사 맨디언트(Mandiant)는 이번 공격을 UNC6240, 대중적으로 더 알려진 이름인 ShinyHunters 그룹의 소행으로 지목했습니다. 맨디언트는 이들의 활발한 공격 시기를 2026년 5월 27일부터 6월 9일까지로 특정했습니다 .

오라클이 보안 권고문을 발표하고 긴급 패치를 배포한 것은 2026년 6월 10일입니다. 즉, 공격자들은 약 2주 동안 아무런 방패도 없는 완벽한 제로데이 상태를 마음껏 누린 셈입니다 . 이 기간 동안 공격자들은 인터넷에 노출된 피플소프트 서버를 스캔하며 CVE-2026-35273을 발판 삼아 침투했습니다.

침투 후 이들은 더욱 교묘하게 움직였습니다. 보안 연구 기관 필드 이펙트(Field Effect)에 따르면, 공격자들은 CVE-2026-35273뿐 아니라 별도로 수집한 계정 정보나 추가적인 취약점까지 연계해 내부 시스템을 옆으로 횡 이동하며 가치 있는 데이터 저장소를 찾아 헤맸습니다 . 이런 다단계 접근 방식을 통해 단순한 ‘치고 빠지기’식 해킹보다 훨씬 더 많은 양의 핵심 데이터를 빼낼 수 있었습니다.

데이터가 유출된 후, ShinyHunters는 그들의 전형적인 갈취 수법을 가동했습니다. 피해 기관에 돈을 지불하지 않으면 탈취한 정보를 공개하겠다고 협박한 것입니다 . 랜섬웨어(몸값을 요구하며 시스템을 못 쓰게 만드는 악성코드)를 배포하는 대신, ‘고급 정보 빼돌려 돈 뜯기’를 주력으로 삼는 것이 이 그룹의 오랜 특징이기도 합니다.

도난당한 데이터: 무엇이 털렸나

탈취된 데이터는 피해 기관마다 조금씩 달랐지만, 공통적으로 굉장히 민감한 정보들이 대거 포함되었습니다.

• 개인 식별 정보(PII): 학생, 교직원, 교수진의 주민등록번호 수준의 민감 개인정보 .
• 학사 기록: 성적, 등록 데이터, 장학금 및 재정 지원 정보 등. 특히 교육 기관이 주된 표적이었기에 피해가 막심했습니다 .
• 인사·급여 데이터: 대기업 피플소프트 시스템의 핵심인 직원 복지, 연봉 정보까지 유출되었습니다 .
• 내부 시스템 구성 및 자격 증명: 공격자들이 내부망을 이 잡듯 훑거나 추가 해킹을 하는 데 이용된, 말 그대로 ‘또 다른 열쇠 꾸러미’들입니다 .

피플소프트가 인사, 재무, 학사 운영 등 거의 모든 민감 데이터를 한데 모아 관리하는 ERP 시스템인 탓에, 한 번의 침해로 수년치의 개인·기관 데이터가 통째로 노출되는 참사가 벌어졌습니다 .

오라클의 이례적 긴급 조치

2026년 6월 10일, 오라클은 보통 분기마다 한 번씩 진행하는 정기 보안 패치 일정을 깨고 CVE-2026-35273에 대한 긴급 보안 경보를 발표했습니다 . 동시에 피플툴즈 8.61 및 8.62 버전에 대한 패치 역시 긴급 배포했는데, 이는 기업용 소프트웨어 회사로서 매우 이례적인 발 빠른 조치였습니다 .

오라클의 경고는 단호했습니다. “이 취약점은 인증 없이 원격에서 공격 가능하며, 공격이 성공할 경우 원격 코드 실행으로 이어질 수 있다”며, 모든 고객에게 “위험 감축을 위한 최우선 조치로 패치를 적용할 것”을 강력히 권고했습니다 .

CISA의 경보 발령과 그 의미

이틀 뒤인 2026년 6월 12일, 미국 사이버보안 및 기반시설 보안국(CISA)은 CVE-2026-35273을 ‘알려진 악용 취약점(KEV)’ 카탈로그에 등재했습니다 . 이 조치는 미국 연방 정부 기관에겐 ‘의무적 패치 마감 시한’을 부과하는 초강력 카드이며, 민간 기업들에게도 지금 당장 이 취약점에 대처해야 하는 가장 강력한 경고 신호로 받아들여집니다.

캐나다 사이버 보안 센터 또한 하루 전인 6월 11일에 AV26-587 권고문을 발표하여 적극적인 악용 사례가 포착되고 있음을 경고하고, 각 기관에 오라클의 지침을 즉시 따르도록 촉구했습니다 . 이처럼 세계 사이버 보안 당국이 동시에 발 벗고 나선 것은 그만큼 이번 사태가 심각하다는 증거입니다.

보안 담당자를 위한 긴급 대응 가이드

오라클과 CISA, 그리고 보안 기업인 Rapid7 등이 공동으로 제시하는 지금 당장 취해야 할 행동 수칙입니다.

1. 오라클 긴급 패치 적용: 피플툴즈 8.61 및 8.62 버전을 사용 중이라면, 그 어떤 업무보다 우선하여 이 패치를 덮어씌우십시오 .
2. 버전 확인: 지원이 끊긴 구버전을 사용 중이라면, 패치 적용 전에 반드시 지원되는 버전으로의 긴급 업그레이드를 먼저 계획해야 합니다.
3. 포렌식 조사 실시: 피플소프트 애플리케이션 서버와 데이터베이스 서버에서 웹 셸(해커가 심어둔 원격 제어 도구), 무단 스크립트, 계정 정보 탈취 도구 등이 설치된 흔적을 샅샅이 찾아보십시오 .
4. 계정 정보 교체: 피플소프트 환경 내에 저장되어 있거나 접근 가능한 모든 ‘비밀번호’를 즉시 새것으로 바꾸십시오. 여기에는 데이터베이스 연결을 위한 서비스 계정과 같은 숨은 계정들도 빠짐없이 포함됩니다 .
5. 네트워크 접근 제한: 피플소프트의 HTTP/HTTPS 인터페이스(80번, 443번 포트)가 무분별하게 인터넷에 노출되어 있다면, 가급적 VPN 뒤에 숨기거나 최소한의 IP에서만 접근할 수 있도록 접근 통제 목록을 걸어두십시오 .
6. 이상 데이터 전송 감시: 피플소프트 서버에서 평소와 다르게 생소한 외부 IP로 대량의 데이터가 유출되는지 지속적으로 모니터링하십시오. 이는 이미 해킹당한 조직에서 가장 흔히 포착되는 징후입니다 .

침해 지표(IoC): 우리 조직은 감염되었는가

아직 조사가 진행 중이므로 모든 공격 흔적이 완전히 밝혀진 것은 아닙니다. 하지만 현재까지 알려진 침해 지표(IoC)와 흔적은 다음과 같습니다.

• 피플툴즈 내 ‘업데이트 환경 관리’로 향하는 무단 HTTP 요청이 로그에 남아 있는 경우 .
• 피플소프트 서버에 정체 모를 웹 셸이나 예상치 못한 스크립트 파일이 생성된 경우 .
• 사용한 적 없는 IP 주소나 평소에 잘 로그인하지 않는 서비스 계정에서 이상한 인증 시도가 발생한 경우 .
• 피플소프트 데이터베이스 서버에서 외부망으로 대용량 데이터 전송이 갑자기 감지된 경우 .
• 해킹된 서버에 알 수 없는 새 서비스 계정이나 예약 작업이 슬쩍 생성된 경우 .

구체적인 공격자 IP 대역도 일부 공개되었습니다. 보안 기업 Pathlock은 142.11.200.186~190, 108.174.202.99, 176.120.22.24에서 유입된 연결을 면밀히 조사할 것과, README-IF-...로 시작하는 몸값 협박 파일이 남아 있는지 피플소프트 로그를 뒤져볼 것을 권고했습니다 .

ShinyHunters, 왜 유독 대학만 노리나

이번 대규모 공격은 ShinyHunters에게 결코 우연이 아닙니다. 이들은 오랫동안 교육 기관을 집요하게 물고 늘어져 왔습니다.

• 집약된 보물 창고: 대학들은 수십만 명의 개인 정보, 학적부, 재정 기록 등이 수십 년 치 쌓여 있는 거대한 피플소프트 시스템을 운영하고 있습니다. 해커 입장에선 그야말로 대박 노다지인 셈이죠 .
• 느린 보안 패치: 많은 교육 기관들이 피플소프트를 실정에 맞게 과도하게 커스터마이징(맞춤 개조)해 사용하는 탓에 업데이트가 복잡하고 시기도 제각각입니다. 취약점이 터질 때마다 가장 손쉬운 먹잇감이 되는 이유입니다 .
• 갈취 특화 전술: 랜섬웨어로 시스템을 잠그기보다 데이터만 살짝 빼돌린 뒤 민감한 내용을 무기로 협박하는 방식이 훨씬 투자 대비 수익이 높습니다 .
• 무차별 스캔 공격: 특정 고가치 표적 하나를 정밀 공략하기보다는, 널리 쓰이는 취약점 하나를 잡히는 대로 마구잡이로 쑤셔 넣어 최대한 많은 희생자를 낚는 전략을 씁니다 .

이번 2026년 6월 공격은 앞서 이들이 여러 대학과 에듀테크 플랫폼을 털어 수백만 건의 데이터를 다크웹에서 팔아넘기던 패턴의 연장선에 있습니다.

아직 위험에 얼마나 노출됐는지 파악 중인 조직이라면, 지금 당장의 최우선 과제는 ‘패치’입니다. 나아가 이번 사건은 대규모 ERP 시스템일수록 외부에 바로 노출된 중요한 서비스와 동일한 수준의 다층 방어 체계와 모니터링, 신속한 대응 역량을 갖춰야 한다는 사실을 준엄하게 일깨우고 있습니다.