- 닛산이 오라클 피플소프트 제로데이 취약점 공격으로 현직 및 퇴직 직원의 개인정보 유출 사실을 공식 공지했다.
- 이번 침해는 데이터 탈취 후 협박에 나서는 ShinyHunters 그룹의 연쇄 캠페인 일부로 분석되며, 미국 보험감독관협회(NAIC) 등 다수 기관과 시점과 표적이 일치한다.
- 단일 사건이 아니라 글로벌 ERP(전사적 자원 관리) 솔루션을 겨냥한 공급망 공격 확산 신호로, 기업과 기관의 패치 우선순위 재설정과 내부 데이터 거버넌스 강화가 시급한 과제로 떠올랐다.
오라클 피플소프트 제로데이는 단일 기업 침해를 넘어 동일 시점 다수 기관으로 확산 중인 ShinyHunters 연쇄 침해 캠페인의 핵심 사례로 평가된다.
2026년 6월 29일, 일본 자동차 제조사 닛산이 자사 시스템에 대한 해킹 사실을 공개하며 임직원 정보가 외부로 유출됐다고 밝혔다. 이번 공격은 오라클 피플소프트(Oracle PeopleSoft) 제품군에 존재하던 제로데이 취약점을 악용한 것으로, 동일 시점 미국 보험감독관협회(NAIC) 등 다수 기관에서도 유사 침해가 보고돼 단일 사건이 아닌 조직적 캠페인이라는 분석이 우세하다. 본문에서는 공격 벡터의 기술적 특징과 피해 확산 양상, 그리고 기업과 기관이 즉시 검토해야 할 대응 과제를 단계적으로 정리한다.
사고 개요와 시점
닛산 공지의 핵심 내용
닛산은 공식 공지를 통해 자사 내부 시스템 중 오라클 피플소프트 환경이 외부 침투를 허용했음을 인정했다. 발표 시점은 2026년 6월 29일 20시 40분 44초(UTC) 기준으로, Bleeping Computer 등 보안 매체에 동시 보도됐다. 공지문은 공격이 제로데이 취약점을 통해 이뤄졌다는 점을 명시적으로 거론했으며, 패치 적용 시점과 침해 발생 시점 사이의 시간 차이 때문에 공격자에게 노출됐다고 회사 측은 설명했다. 닛산은 사건의 정확한 영향 인원 수는 조사를 마친 뒤 별도 공지하겠다고 덧붙였다.
유출 데이터 범위
1차 확인된 유출 데이터에는 현직 직원뿐 아니라 퇴직 임직원의 개인정보가 포함된 것으로 나타났다. 성명, 사번, 내부 연락처, 그리고 일부 인사 기록 항목이 유출된 것으로 알려졌으며, 고객 데이터나 차량 생산 관련 영업 비밀 유출 여부는 별도 조사 중이다. 닛산은 유출된 정보의 악용 시나리오를 분석하고, 영향 받은 직원 대상 신원 도용 모니터링 서비스를 무상 제공할 방침이라고 공지했다.
공격 벡터 분석
오라클 피플소프트 제로데이의 기술적 특징
이번 침해의 출발점은 오라클 피플소프트의 알려지지 않은 취약점, 즉 제로데이였다. 제로데이 공격은 패치가 공개되기 전 단계에서 익스플로잇 코드가 유통되는 특성상, 전통적인 signature 기반 보안 제품만으로는 탐지가 어렵다. 보안 업계는 이번 익스플로잇이 피플소프트의 웹 애플리케이션 진입점을 악용한 뒤 내부 데이터베이스에 직접 접근하는 흐름을 보였을 것으로 추정하고 있다. 정보 탈취 이후에는 인포스틸러(infostealer) 페이로드가 추가 배포돼 인증 토큰과 세션 쿠키가 2차 유출될 가능성도 제기되고 있다.
ShinyHunters 공격 그룹의 수법
ShinyHunters는 2020년경부터 데이터베이스 탈취와 협박을 결합한 수법으로 알려진 위협 그룹이다. 해당 그룹은 공격 성공 후 표적 기업의 내부 문서와 고객 정보를 샘플로 공개해 압박한 뒤, 협상 거부 시 다크웹 마켓플레이스에 일괄 판매하는 패턴을 일관되게 보여왔다. 닛산 사건에서도 공격자 측이 보유 데이터의 샘플을 공개하며 협상에 나선 것으로 알려지면서, ShinyHunters의 캠페인 연관성이 사실상 확정됐다. 업계는 이 그룹이 단일 익스플로잇을 여러 표적에 순차적으로 재활용하는 자동화 파이프라인을 운영한다고 보고 있다.
동일 캠페인의 연관 피해 사례
NAIC 사건과의 교차 검증
미국 보험감독관협회(NAIC)는 닛산 침해와 거의 같은 시점에 내부 시스템 침해를 경험했으며, 공격 벡터 역시 오라클 피플소프트로 동일했다. 두 사건의 침해 흔적에서 발견된 인프라 지문과 도메인 등록 패턴이 유사하다는 점에서 보안 연구자들은 이를 단일 캠페인의 일부로 평가하고 있다. NAIC는 영향받은 데이터의 성격을 보험 라이선스 정보와 감독 공시 문서 위주로 분류해 공개했으며, 닛산 사건보다 먼저 공식 성명을 냈다는 점에서 공격의 실제 시점은 발표 시점보다 앞당겨졌을 가능성이 있다.
글로벌 ERP 침해 트렌드로의 확장
피플소프트는 대학, 공공기관, 대기업 인사·재무 시스템에서 폭넓게 사용되는 ERP 솔루션이다. 이번 사례는 특정 산업군에 국한되지 않고 모든 피플소프트 사용 조직으로 피해가 확대될 수 있음을 시사한다. Dark Reading 등 다수 보안 매체는 최근 몇 달간 미국 연방 정부 산하기구와 인도 정부 시스템에서도 유사한 침해 시도가 관측됐다고 보도한 바 있으며, 공급망 차원의 위협이 현실화되고 있다고 평가했다. 국내에서도 글로벌 ERP를 도입한 금융사와 공공기관에 대한 점검 필요성이 대두되고 있다.
기업·기관을 위한 대응 과제
패치 우선순위와 위험 기반 접근
제로데이 취약점은 패치 부재 상태에서 공격이 진행되기 때문에 전통적인 취약점 스캔만으로는 예방이 어렵다. 따라서 조직은 자산 단위 위험도(예: 인터넷 노출 여부, 보유 데이터 민감도)를 결합한 위험 기반 패치 우선순위 체계를 가동해야 한다. 또한 가상 패치(virtual patching)나 WAF(웹 애플리케이션 방화벽)룰을 활용한 임시 완화와, EDR(엔드포인트 탐지 및 대응)솔루션의 인포스틸러 행위 탐지 룰 보강이 병행돼야 효과적이다.
직원 데이터 보호를 위한 거버넌스 강화
임직원 정보는 재직 중과 퇴직 후 모두 보호 대상이라는 인식 전환이 필요하다. 퇴직자 데이터를 별도 격리 저장소에 보관하거나 마스킹 처리해 평상시 접근 권한을 최소화하고, 정기적인 접근 로그 감사 체계를 갖춰야 한다. 침해 발생 시에는 사내 커뮤니케이션 가이드라인과 외부 공지 절차를 사전에 마련해, 닛산 사례처럼 영향 범위와 모니터링 제공 계획을 신속히 안내할 수 있어야 신뢰를 유지할 수 있다.
결론 및 전망
닛산의 오라클 피플소프트 제로데이 침해는 단일 기업이 겪은 일회성 사고가 아니라, 글로벌 ERP 솔루션을 겨냥한 ShinyHunters 연쇄 캠페인의 단편으로 읽혀야 한다. 다수 기관에서 동일 시점, 동일 공격 벡터가 반복 관측된다는 점에서 향후 몇 달간 유사 시도가 추가 발생할 가능성이 높다. 조직은 패치와 탐지 능력 강화뿐 아니라 임직원 데이터를 핵심 자산으로 분류하는 거버넌스 개편을 병행해야 하며, 글로벌 보안 커뮤니티와의 위협 인텔리전스 공유 체계를 통해 선제적으로 대응해야 할 것이다.
핵심 정리
- 닛산 침해의 출발점은 오라클 피플소프트 제로데이였으며, ShinyHunters의 데이터 탈취 캠페인 일부로 분석된다.
- 동일 시점 NAIC 등 다수 기관에서 유사 피해가 확인돼 글로벌 ERP 공급망 공격 확산이 현실화되고 있다.
- 기업과 기관은 위험 기반 패치 우선순위, 인포스틸러 탐지, 임직원 데이터 거버넌스 강화를 즉시 추진해야 한다.