오라클, 데이터 절도 공격에 이용된 피플소프트 제로데이 취약점 완화
Oracle은 인증되지 않은 원격 코드 실행을 가능하게 하는 심각한 PeopleSoft Suite 제로데이 취약점(CVE‑2026‑35273)에 대해 경고하고 있으며, 이 결함이 ShinyHunter 데이터 절도 공격에 활발히 악용되고 있다고 밝혔습니다.
이 취약점은 Oracle PeopleSoft PeopleTools 내부에 존재하며 CVSS 기본 점수는 9.8입니다.
“이 보안 알림은 Oracle PeopleSoft PeopleTools의 취약점 CVE‑2026‑35273을 다룹니다. Oracle PeopleSoft 엔터프라이즈 애플리케이션 고객도 이 취약점의 영향을 받을 수 있습니다.” 라는 내용이 새로운 Oracle 권고문에 실렸습니다.
“이 취약점은 인증 없이 원격에서 악용될 수 있습니다. 성공적으로 악용될 경우 원격 코드 실행을 초래할 수 있습니다.”
Oracle은 제로데이 취약점이 PeopleSoft Enterprise PeopleTools 8.61 및 8.62 버전에 영향을 미친다고 확인했으며, 결함을 해결하기 위한 긴급 완화 조치를 발표했고 곧 패치가 제공될 예정이라고 밝혔습니다.
ShinyHunter 데이터 절도 공격에 이용된 제로데이
Oracle이 이 취약점이 활발히 악용되고 있다고 명시하지는 않았지만, 이번 발표는 Bleeping Computer가 처음 보도한 바와 같이 ShinyHunters 갈취 조직이 PeopleSoft 제로데이 취약점을 이용해 인스턴스를 침해하고 데이터를 탈취하고 있다는 사실과 시점이 일치합니다.
Bleeping Computer는 이후 이 공격에 사용된 것이 바로 해당 제로데이임을 확인했습니다.
Mandiant‑Google Cloud CTO인 Charles Carmakal은 LinkedIn에서 CVE‑2026‑35273이 실제로 악용되고 있으며 Oracle이 해당 결함에 대한 완화 조치를 발표했다고 재확인했습니다.
화요일에 Bleeping Computer는 Oracle PeopleSoft이 ShinyHunters 갈취 조직이 남긴 몸값 요구 메모와 함께 다수의 데이터 절도 공격에 표적이 되었다는 사실을 입수했습니다.
ShinyHunters는 클라우드 SaaS 인스턴스, CRM, 기업 플랫폼 등 대량의 기업 데이터를 보유한 시스템을 자주 침해하는 것으로 알려진 위협 행위자입니다. 침해에 성공하면 데이터를 다운로드하고 공개 유출을 막기 위해 몸값을 요구합니다.
이 그룹은 지난 1년간 SnowFlake, Salesforce, 그리고 제3자 통합 제공업체 등을 대상으로 한 다수의 고프로파일 공격과 연관되어 있습니다.
ShinyHunters는 Bleeping Computer에 자신들이 이번 공격의 배후이며, 오래된 취약점과 제로데이를 결합한 “가젯 체인”을 사용해 PeopleSoft 인스턴스를 침해했다고 주장했습니다.
이 결함을 이용해 위협 행위자는 100개가 넘는 조직의 300개 인스턴스에서 데이터를 탈취한 것으로 추정됩니다.
사이버 보안 연구원 “Michael R”은 공격과 관련된 도구가 포함된 여러 온라인 디렉터리를 발견했으며, 다음과 같은 IP 주소가 공격에 사용된 것으로 확인했습니다.
142.11.200[.]186
142.11.200[.]187
142.11.200[.]188
142.11.200[.]189
142.11.200[.]190
108.174.202[.]99
176.120.22[.]24Oracle PeopleSoft을 운영 중이라면 위 IP 주소와의 연결 로그를 반드시 분석해 해당 공격에 노출되었는지 확인하시기 바랍니다.
Bleeping Computer는 이 취약점 및 공격과 관련해 Oracle에 질문을 보냈지만 아직 회신을 받지 못했습니다.
보안 팀은 성공적인 공격의 54%만 로그에 남기고, 그 중 14%만 경고합니다. 나머지는 환경을 무시하고 이동합니다.
Picus 백서는 침해 및 공격 시뮬레이션이 SIEM 및 EDR 규칙을 어떻게 테스트해 위협이 탐지되지 않고 넘어가는 것을 방지하는지 보여줍니다.