악명 높은 해커 그룹의 새로운 공격
악명 높은 해커 그룹 샤이니헌터스(ShinyHunters, UNC6240)가 오라클 피플소프트(Oracle PeopleSoft)의 제로데이 취약점(CVE-2026-35273, CVSS 9.8)을 악용하여 금전 갈취 목적의 사이버 공격을 감행했다. 맨디언트(Mandiant)와 구글 위협 인텔리전스 그룹(GTIG)의 분석에 따르면 공격은 지난 5월 27일부터 6월 9일까지 이어졌으며, 오라클이 해당 취약점에 대한 공식 보안 권고를 발표한 6월 10일보다 앞선 시점에 집중적으로 이루어졌다. 피해 기관은 약 100개에 달하며, 이 중 68%가 대학 및 단과대학 등 고등 교육 기관이었다.
샤이니헌터스는 과거에도 대규모 데이터 유출 사건으로 악명을 떨친 집단이다. 2026년에만 40개 이상의 기관에서 4억 명 이상의 데이터를 탈취한 것으로 보고되었으며, 캔버스(Canvas), 코인베이스(Coinbase), 티켓마스터(Ticketmaster), 스노우플레이크(Snowflake) 등 유명 기업들을 공격한 전력이 있다.
이번 피플소프트 공격에서는 스캐닝을 통해 취약한 엔드포인트를 찾아낸 뒤, 마이크로소프트 애저(Microsoft Azure) 서비스처럼 위장한 '메시센트럴(MeshCentral)' 원격 관리 에이전트를 설치해 내부 정보를 수집하고 유출하는 방식을 택했다. GTIG와 맨디언트의 분석에 따르면 공격자들은 피플소프트 프로세스 스케줄러 설정 파일에서 내부 호스트명과 IP 주소를 수집하고, 웹로직(weblogic) XML 설정 파일을 분석하여 내부 애플리케이션 서버 구성을 파악했다. 수집된 데이터는 ZSTD 압축 도구를 이용해 압축된 후 외부로 빠져나갔으며, 샤이니헌터스는 데이터 유출 웹사이트(DLS)를 통해 탈취한 데이터를 공개했다.
CVE-2026-35273은 원격 코드 실행을 허용하는 치명적 취약점으로, 패치 적용 전 공격이 이루어졌다는 점에서 피해 규모가 컸다.
제로데이 취약점, 피할 수 없는 위협
이번 공격에서 고등 교육 기관이 집중적으로 피해를 입은 데는 구조적 이유가 있다.
광고
대학과 단과대학은 학생·교직원·연구 데이터 등 방대한 양의 민감 정보를 보유하고 있는 반면, 기업에 비해 보안 예산과 전담 인력이 부족한 경우가 많다. 피플소프트는 인사·재무·학사 행정 등 기관 핵심 업무를 처리하는 플랫폼인 만큼, 이 시스템이 침해되면 개인정보 유출을 넘어 기관 운영 전반에 걸친 후속 피해로 이어질 수 있다. 맨디언트와 GTIG는 교육 기관이 글로벌 보안 사건에서 교훈을 얻어 보안 체계를 점검해야 한다고 지적했다.
이번 공격은 사이버 보안 환경에서 제로데이 위협이 얼마나 빠르게 현실화될 수 있는지를 보여주는 사례다. 해커들은 제조사가 취약점을 인지하거나 패치를 배포하기 전 공격을 개시하기 때문에, 피해 기관 입장에서는 사전 대응 자체가 어렵다. 특히 이번처럼 공격 기간이 13일에 걸쳐 광범위하게 진행된 경우, 패치 발표 이전까지 피해가 누적될 수밖에 없다.
GTIG와 맨디언트는 피플소프트를 사용하는 모든 기관에 즉각적인 대응 조치를 촉구하고 있다.
보안 강화의 시급한 필요성
오라클은 6월 10일 해당 취약점에 대한 공식 보안 권고를 발표했으며, 사용자들에게 신속한 조치 적용을 권장했다. 맨디언트와 구글 GTIG는 피플소프트를 사용하는 기관들이 멀티서버 구성 시 EMHub 서비스를 비활성화하거나 PSEMHUB 애플리케이션을 제거할 것을 강력히 권고했다. 또한 비정상적인 원격 관리 에이전트 설치 여부와 내부 네트워크 트래픽 이상 징후를 점검하는 것이 선행 과제다.
이러한 대응 조치는 동일한 공격 경로를 통한 추가 피해를 차단하기 위한 핵심 절차다. 국내 기업과 교육 기관들도 이번 사태를 직접적인 위협 신호로 받아들여야 한다.
오라클 피플소프트는 국내 대학과 공공기관에서도 널리 사용되는 솔루션이며, 동일 취약점을 가진 시스템이 패치 없이 운용되고 있을 경우 추가 피해 가능성을 배제할 수 없다. 정기적인 취약점 스캔, 보안 패치의 신속한 적용, 관리자 보안 교육 강화는 제로데이 위협에 대응하는 기본 요건이다.
광고
보안 인프라 개선은 이제 선택 사항이 아닌 기관 존립과 직결된 필수 과제가 되었다.
FAQ
Q. 샤이니헌터스의 공격으로부터 한국 기관들은 어떻게 대비해야 하는가?
A. 한국 기관들은 오라클이 발표한 CVE-2026-35273 보안 권고를 즉시 확인하고 권장 조치를 적용해야 한다. 피플소프트를 운용 중인 경우 멀티서버 구성에서 EMHub 서비스 비활성화 또는 PSEMHUB 애플리케이션 제거를 우선 검토해야 하며, 맨디언트·GTIG가 공개한 침해 지표(IoC)를 기반으로 내부 시스템 점검을 병행해야 한다. 정기적인 모의 해킹과 취약점 스캔을 통해 잠재적 위협을 사전에 식별하고, 데이터 백업 및 복구 체계를 갖추어 유사 사고 발생 시 피해를 최소화하는 것이 핵심이다.
Q. 제로데이 취약점이란 무엇인가?
A. 제로데이 취약점은 소프트웨어 제조사가 아직 인지하지 못했거나 패치를 배포하지 못한 보안 결함을 가리킨다. 제조사가 대응할 시간이 '0일(zero day)'이라는 의미에서 이 명칭이 붙었으며, 해커는 이 공백 기간을 이용해 탐지를 피하며 공격을 수행한다. CVE-2026-35273은 CVSS 9.8로 분류된 치명적 수준의 원격 코드 실행 취약점으로, 오라클의 권고 발표 이전 13일 동안 실제 공격에 활용되었다.
Q. 오라클 피플소프트 사용자들이 취해야 할 즉각적인 보안 조치는 무엇인가?
A. 오라클이 발표한 CVE-2026-35273 관련 보안 권고를 확인하고 권장 설정 변경 사항을 즉시 적용해야 한다. 멀티서버 구성 환경에서는 EMHub 서비스를 비활성화하거나 PSEMHUB 애플리케이션을 제거하는 것이 맨디언트와 GTIG의 공식 권고 사항이다. 아울러 내부 네트워크에서 메시센트럴(MeshCentral)과 같은 비인가 원격 관리 에이전트가 설치되어 있는지 점검하고, ZSTD 압축 도구를 이용한 비정상적 데이터 전송 흔적이 있는지 로그를 분석해야 한다.
){kind=small}
){kind=small}
){kind=small}
){kind=small}