쉐이니헌터스, 오라클 피플소프트 제로데이(CVE-2026-35273) 악용해 대학·기업 침투…대규모 데이터 유출

지난 5월 말부터 6월 초 사이에 전 세계 대학과 기업 시스템을 노린 대규모 사이버 공격이 발생했다. 공격 주체는 ‘쉐이니헌터스(ShinyHunters)’로 알려진 금전적 이득을 목적으로 한 익스토션(extortion) 그룹이다. 이 공격은 오라클(Oracle)의 인기 엔터프라이즈 인사이드 시스템인 ‘피플소프트(PeopleSoft)’에 존재하는 미패치 취약점(CVE-2026-35273)을 악용했다는 사실이 확인됐다. 이 취약점은 원격 코드 실행(RCE) 가능성을 지닌 것으로, 인증 절차 없이도 HTTP를 통한 네트워크 접근만으로 서버를 완전히 장악할 수 있는 위험한 특징을 지녔다. 특히 ‘Environment Management Hub’(PSEMHUB)에 외부 접근이 허용된 시스템이라면 누구나 공격 대상이 될 수 있어, 해당 엔드포인트의 즉시 차단이 시급한 상황이다.

공격은 5월 27일부터 6월 9일까지 약 2주간에 걸쳐 진행됐다. 보안 기업 맨디언트(Mandiant)는 이 공격이 자신들이 UNC6240으로 추적 중인 쉐이니헌터스 그룹에 의해 수행됐다고 밝혔다. 오라클은 이 취약점에 대한 공식 보안 권고문을 6월 10일에서야 발표했는데, 이는 곧 해당 취약점이 발표 전까지 ‘제로데이(Zero-Day)’ 상태로 남아 있었다는 의미다. 이 기간 동안 공격자들은 취약점을 악용해 다수의 조직 내부로 침투했으며, 특히 대학 시스템이 집중 타겟이 됐다. 맨디언트는 100곳 이상의 조직에対し 취약점 노출 사실을 통보했다고 전했다.

CVE-2026-35273은 ‘피플소프트 엔터프라이즈 피플툴스(PeopleSoft Enterprise PeopleTools)’ 8.61과 8.62 버전에 영향을 미친다. 오라클은 이전 버전인 미지원 버전들도 취약할 가능성이 크다고 밝혔다. 취약점은 ‘업데이트 환경 관리(Updates Environment Management)’ 컴포넌트에 존재하며, 이 컴포넌트는 ‘Environment Management Hub’의 핵심 역할을 담당한다. 맨디언트 CTO 찰스 카마칼(Charles Carmakal)은 이 취약점이 실세계에서 악용되고 있다고 확인했으며, 오라클 측은 자체적으로도 공격이 확인됐는지는 밝히지 않았다. 오라클의 보안 권고문은 지원 로그인 후 확인 가능한 패치 가능 문서로 연결되며, 현재로서는 패치가 전면적으로 제공되고 있는지 여부가 명확하지 않다. 따라서 당분간은 취약점 완화를 위한 즉각적인 조치가 권고된다.

공격의 세부 작동 방식은 공격자들이 자신들의 인프라를 잘못 노출하면서 밝혀졌다. 보안 연구자 ‘@nahamike01’이 공개 디렉터리(open directories)를 발견해 문제를 알렸고, 맨디언트가 이에 따라 5개의 연속된 IP 주소에서 8888번 포트로 구동 중인 파이썬 ‘SimpleHTTP’ 서버를 조사했다. 해당 서버들은 공격자들이 사용한 스테이징 파일들을 노출했는데, 여기에는 공격자들의 .bash_history 파일, 마이크로소프트 애저로 위장한 맞춤형 ‘MeshCentral’ 원격 관리 에이전트, 그리고 lateral-movement 스크립트가 포함됐다.

‘MeshCentral’ 에이전트는 ‘azurenetfiles.net’이라는 도메인으로 명령 및 제어 서버에 연결을 시도했는데, 이 도메인명은 마치 ‘Azure NetApp Files’처럼 보이도록 의도적으로 조작됐다. lateral-movement 스크립트인 ‘[victim]_fanout.sh’는 SSH를 통해 내부 호스트로 확산되며, /etc/hosts 파일에서 추출한 호스트 목록을 대상으로 미리 설정된 사용자명과 비밀번호 리스트를 무차별 대입(spray)하는 방식으로 동작했다. 또한, 공격자들은 ‘README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT’라는 파일명을 가진 마커 파일을 피플소프트 디렉터리 내부에 남겼으며, 데이터를 zstd로 압축한 후 ‘ShinyHunters’의 공개 릭 사이트 미러가 호스팅된 서버로 아웃바운드 SSH 연결을 시도했다.

이번 공격은 단순히 기술적 취약점의 악용을 넘어, 공격자들이 어떻게 조직 내부로 침투한 후 lateral movement를 수행하는지를 구체적으로 보여준다. 특히, 공격자들이 사용한 맞춤형 에이전트와 스크립트는 기존의 알려진 악성 코드 패턴과는 다소 달랐지만, 보안 연구자에 의해 노출되면서 공격의 전모가 밝혀졌다. 또한, 공격자들이 사용한 도메인명은 ‘애저’와 유사한 형태로 위장되어 있어, 조직 내 보안 팀이 외부 위협을 식별하는 데 어려움을 겪었을 가능성이 크다. 이 같은 기법은 향후 유사한 공격에 악용될 가능성이 높으므로, 보안 담당자들은 이러한 위장 기법에 대한 대응력을 강화해야 한다.

피플소프트의 경우, ‘Environment Management Hub’(PSEMHUB) 엔드포인트에 대한 외부 접근을 즉시 차단하는 것이 최우선 과제다. 이 엔드포인트는 HTTP를 통한 접근만으로도 서버 장악이 가능하기 때문이다. 또한, 피플소프트 8.61과 8.62 버전을 사용 중인 조직은 가능한 한 신속히 패치를 적용하거나, 패치가 제공되지 않는 경우 보안 권고문에 따라 임시 완화 조치를 취해야 한다. 오라클은 이전 버전도 취약할 가능성이 있다고 밝혔으므로, 지원 종료 여부와 상관없이 시스템 점검을 실시하는 것이 바람직하다.

조직 내 보안 팀은 lateral movement 공격에 대비하기 위해 내부 네트워크의 모니터링을 강화해야 한다. 특히, SSH를 통한 무차별 대입 공격이 감지된다면 즉각적인 조치가 필요하다. 또한, 데이터 유출을 방지하기 위해 중요 데이터에 대한 접근 로그와 변경 이력을 철저히 모니터링해야 한다. 공격자들은 데이터를 zstd로 압축한 후 외부 서버로 전송하는 패턴을 보였으므로, 대용량 압축 파일의 아웃바운드 전송을 감시하는 것도 유용한 방어 전략이 될 수 있다.

이번 공격은 고등교육 기관을 비롯한 대학 시스템이 주요 타겟이 됐다는 점에서 주목할 만하다. 대학은 일반적으로 예산과 인력 면에서 보안 리소스가 부족한 경우가 많아, 사이버 공격의 주요 표적이 되고 있다. 또한, 대학 내에는 학생 및 교직원의 민감한 개인정보가 다수 저장되어 있어, 데이터 유출 시 피해가 클 수밖에 없다. 이번 공격을 계기로 대학은 물론, 민간 기업도 피플소프트와 유사한 엔터프라이즈 시스템에 대한 보안 점검을 강화할 필요가 있다.

공격자들은 쉐이니헌터스 그룹으로 확인됐으며, 이들은 금전적 이득을 목적으로 한 익스토션 공격을 주로 수행하는 것으로 알려져 있다. 이번 공격에서도 공격자들은 유출된 데이터를 바탕으로 금전적 요구를 할 가능성이 크다. 따라서, 조직은 데이터 유출 여부를 신속히 확인하고, 필요한 경우 법적 대응과 보안 강화 조치를 병행해야 한다. 또한, 공격에 사용된 악성 코드 및 인프라에 대한 상세 분석을 통해 유사한 공격에 대비할 수 있도록 해야 한다.

보안 업계는 이번 사건을 계기로 제로데이 취약점의 위험성과 즉각적인 패치의 중요성을 다시 한 번 강조하고 있다. 특히, 엔터프라이즈급 시스템은 외부 접근이 가능한 엔드포인트를 최소화하고, 정기적인 보안 점검을 실시해야 한다. 또한, 보안 연구자와 기업 간의 정보 공유가 활발히 이뤄질 수 있도록 제도적 장치를 마련하는 것도 중요하다. 이번 공격이 보여주듯, 공격자들은 끊임없이 새로운 기법과 도구를 동원하고 있으므로, 보안 팀은 최신 위협 동향을 꾸준히 모니터링하고 대응력을 강화해야 한다.

결론적으로, CVE-2026-35273을 악용한 쉐이니헌터스의 공격은 조직 내 보안 체계의 취약점을 드러냈다. 특히, 피플소프트와 같은 핵심 비즈니스 시스템에 대한 보안 강화와 외부 접근 통제, 그리고 lateral movement 공격에 대한 대비가 시급하다. 조직은 이번 사건을 교훈 삼아 보안 정책과 절차를 재검토하고, 필요한 경우 전문 보안 업체의 지원을 받아 보안 체계를 강화해야 한다. 또한, 보안 연구자와 협력해 새로운 위협에 신속히 대응할 수 있는 체계를 마련하는 것이 중요하다. 이번 공격이 보여주듯, 사이버 보안은 한 순간의 실수로도 큰 피해로 이어질 수 있으므로, 지속적인 관심과 노력이 필요하다.