2026년 5월 말부터 6월 초까지 약 2주 동안 Oracle PeopleSoft 환경에서 인증 없이 원격 코드 실행이 가능한 제로데이 취약점 CVE-2026-35273가 실제 데이터 유출 공격에 사용된 것으로 확인됐다. Google의 Mandiant는 해당 활동을 UNC6240이라는 코드명으로 추적하며 ShinyHunters 소행으로 귀속했고, 피해는 특히 대학교에 집중됐다. 본문은 이 사건의 타임라인, 공격자 정체, 교육 분야가 첫 번째 표적이 된 배경, 그리고 패치 공백기 동안 보안팀이 즉시 점검해야 할 항목을 정리한다.
- CVE-2026-35273는 인증 없이 원격 코드 실행을 허용하는 Oracle PeopleSoft 제로데이로, 2026년 5월 27일부터 6월 9일까지 약 2주간 실제 공격에 악용된 것으로 Mandiant가 보고했다.
- 공격은 Mandiant(Google 산하)가 추적한 UNC6240 클러스터로 분류되며, Mandiant는 이를 ShinyHunters 그룹의 활동으로 귀속했다.
- Oracle의 공식 보안 권고는 공격 종료 익일인 6월 10일에 공개되어, 익스플로잇 종료 시점과 권고 시점 사이에 패치 공백이 발생한 것으로 기록됐다.
제로데이의 위험은 취약점의 존재가 아니라 익스플로잇 공개 시점과 패치 적용 시점 사이의 시간 차에서 폭발한다는 점을 다시 확인한 사건이다.
들어가며: PeopleSoft 사건이 다시 주목받은 이유
PeopleSoft는 학사, 인사, 재무 등 핵심 업무 시스템으로 공공기관과 교육기관에 광범위하게 배포돼 왔다. 그래서 한 번 제로데이 공격이 확정되면 단순한 서버 침해를 넘어 학적 정보, 급여 데이터, 연구 과제 메타데이터 등 고가치 정보가 한꺼번에 유출될 수 있다. 이번 사건은 익스플로잇이 가시화된 시점부터 패치가 배포되기 전까지의 기간 동안 대학 캠퍼스에서 관측된 침해 흐름을 보여주는 사례로, 보안 업계에서 재조명되고 있다.
1차 보도인 The Hacker News의 기사에 따르면 익스플로잇의 시작 시점은 5월 27일이며, Oracle의 공식 완화 권고는 6월 10일에야 공개됐다. 같은 시기의 보조 기사 Bleeping Computer 보도 역시 Oracle이 데이터 유출 공격에 악용된 PeopleSoft 제로데이를 완화하기 위한 권고를 배포했다는 사실과 CVE 식별자 일치를 확인해 준다.
CVE-2026-35273의 기술적 의미
CVE-2026-35273는 인증되지 않은 호출자가 서버측에서 임의 코드를 실행할 수 있도록 허용하는 결함으로 분류된다. 공격에 사전 자격증명이 필요 없다는 점이 가장 큰 위협 요인이며, 인터넷에 노출된 PeopleSoft 인스턴스라면 사실상 누구나 첫 발을 들여놓을 수 있다. 보조 기사의 기술 설명도 같은 결론을 가리키고 있어 익스플로잇의 위험 등급은 단순 RCE를 넘어 데이터 유출로 직결되는 사례로 해석된다.
공격 타임라인: 5월 27일부터 6월 10일까지의 2주
아래 표는 1차 기사와 보조 기사에서 공통으로 확인된 사실만을 정리한 타임라인이다.
| 구분 | 날짜 | 확인된 사실 |
|---|---|---|
| 공격 시작 | 2026-05-27 | Mandiant가 익스플로잇 활동의 시발점으로 기록 |
| 공격 종료 추정 | 2026-06-09 | Mandiant가 마지막으로 악용이 관측된 시점이라 명시 |
| Oracle 권고 공개 | 2026-06-10 | 공격 종료 익일에 공식 완화 권고 및 패치 배포 |
| 1차 기사 게재 | 2026-06-11 | The Hacker News가 사건을 공개 |
이 표에서 가장 두드러지는 사실은 5월 27일부터 6월 9일까지 14일이라는 패치 공백이 존재했다는 점이다. 보조 기사에 따르면 Oracle은 이 사이를 가상 패치와 접근 통제 강화로 메우는 형태의 완화책을 함께 제시했다. 즉 권고가 늦었다기보다 익스플로잇이 공식 발표보다 한 발 앞서 공개된 구조라서, 익스플로잇이 공개된 순간부터 패치 적용 전까지의 골든타임이 사실상 사라진 셈이다.
ShinyHunters와 UNC6240의 정체
ShinyHunters는 과거 Salesforce 및 Snowflake 관련 대규모 데이터 유출 사건과 연관된 이름으로, 사후 공개·협박에 이르는 다단계 작전을 구사해 온 그룹으로 알려져 있다. Mandiant는 이 사건의 클러스터를 UNC6240이라는 내부 추적 코드로 분류하고 ShinyHunters의 활동으로 귀속했다. 이는 1차 기사의 사실 기록과 보조 기사의 Mandiant 인용이 일치하는 부분이라 사실상 사실로 간주할 수 있다.
왜 대학이 첫 번째 타깃이 되었나
PeopleSoft Campus Solutions는 학사, 등록, 재정 지원, 성적 등 민감한 학생 데이터를 보관하는 핵심 모듈이다. 공격자 입장에서는 단일 시스템 침투만으로 수만 명 규모의 식별 가능 정보를 한 번에 확보할 수 있어 효율이 높다. 1차 기사는 이번 캠페인이 대학을 가장 강타한 산업군이라고 1차 기사는 명시하고 있으며, 그 배경은 다음과 같이 해석된다.
- 대부분의 대학 IT 조직은 24시간 SOC를 상시 가동하기 어렵고, 학기 일정과 방학 시즌에 따라 패치 적용 윈도우가 제한된다.
- 캠퍼스 네트워크는 개방형 Wi-Fi, 다수 BYOD 단말, 외부 연구 협력자의 접근 등으로 인해 트래픽 신뢰 경계가 모호하다.
- 연구 과제, 장학금, 기부금 처리에 PeopleSoft가 직결되어 있어 업무 연속성 차원에서 서비스를 즉시 차단하기 어렵다.
교육 분야의 데이터 가치와 협박 시나리오
학생 식별 정보는 의료 기록과 결합될 경우 사기 가치가 크게 뛰고, 성적과 징계 기록은 개인에게 직접적인 평판 피해를 줄 수 있어 협박에 취약하다. ShinyHunters는 과거 사례에서도 공개 게시판과 압력용 누출 사이트를 병행해 왔기 때문에, 이번에도 단순 유출에 그치지 않고 2차 협박 시나리오로 확장될 가능성이 있는 것으로 분석된다.
Oracle의 권고와 패치 공백의 위험
Oracle이 6월 10일 배포한 권고에는 영향받는 컴포넌트, 패치 적용 순서, 그리고 패치 적용이 어려운 인스턴스를 위한 가상 패치 및 WAF 룰이 포함된 것으로 보조 기사는 전달한다. 그러나 현실에서는 패치 적용까지 다음 단계를 거치게 된다. 먼저 비운영 환경에서의 검증, 그다음 단계적 배포, 마지막으로 운영 환경 롤아웃이다. 이런 일정에 익스플로잇 윈도우가 겹치면 다수의 기관이 무방비 상태에 놓일 수 있다.출되는 셈이 된다.
패치 공백을 줄이기 위한 운영 모델로는 가상 패치의 선제 적용, 관리 콘솔의 외부 노출 차단, 그리고 이상 트래픽 탐지 룰의 사전 배포가 꼽힌다. 보조 기사는 Oracle이 권고와 함께 임시 완화 옵션을 함께 제시했다고 전하며, 이는 곧 공식 채널에서도 패치 공백을 인정한 것으로 해석된다.
위협 인텔리전스를 어떻게 활용할 것인가
이번 사건에서 UNC6240이라는 추적 코드가 공개되었다는 점은 보안팀에게 즉시 활용 가능한 단서다. 위협 인텔리전스 플랫폼(TIP) 내부에서 UNC6240을 IOC, TTP, 그리고 툴체인 측면에서 검색해 보고, 기존 SIEM 룰과 매칭하는 작업이 첫 번째 액션이다. 그다음 단계는 ShinyHunters가 과거 사용한 것으로 알려진 PowerShell 로더, 웹쉘 패턴, 클라우드 자격증명 유출 채널을 기준으로 탐지 룰을 추가하는 것이다.
또한 Mandiant가 공개한 보고서 본문을 팀 내 위키에 보관하고, 향후 인시던트 발생 시 의사결정 가이드로 재활용하는 체계를 마련할 필요가 있다. 1차 기사와 보조 기사가 동시에 Mandiant 분석 결과를 인용한다는 사실은 정보의 신뢰도가 높다는 반증이며, 단일 출처에 의존하지 않는 교차 검증이 효과적으로 작동한 사례이기도 하다.
임시 완화책 및 모니터링 체크리스트
PeopleSoft를 운영하는 보안팀은 패치 적용 전이라도 다음 항목을 우선 점검해야 한다.
- PeopleSoft 관리 콘솔, PIA, Integration Broker를 포함한 주요 엔드포인트의 외부 노출 여부 점검과 방화벽/WAF 차단 룰 적용.
- 익스플로잇 흔적으로 자주 보고되는 비정상 Tuxedo 호출, 미인증 SOAP 요청, 관리 트랜잭션 시퀀스에 대한 SIEM 탐지 룰 신규 등록.
- PeopleSoft Application Server 프로세스가 외부로 발생시키는 비정상 아웃바운드 연결에 대한 EDR 기반 모니터링 강화.
- 관리자 계정과 서비스 계정의 자격증명 순환 및 특권 접근 감사 로그의 보존 기간을 임시로 90일 이상 확대.
- 중요 데이터베이스 덤프, 대량 CSV 내보내기, 그리고 클라우드 스토리지 업로드 행위에 대한 데이터 유출 방지(DLP) 정책 강화.
위 항목은 단일 솔루션이 아니라 계층적 방어의 관점에서 설계된 것이다. CVE-2026-35273 자체가 무인증 RCE라는 점에서 네트워크 경계에서의 차단이 가장 큰 효과를 내며, 이를 뚫더라도 어플리케이션과 데이터 계층에서 이상 행위를 포착할 수 있어야 한다.
맺으며: 제로데이 시대의 제로 트러스트 전환
이번 ShinyHunters 사건은 익스플로잇이 패치보다 먼저 공개되는 현실이 더 이상 예외가 아니라는 점을 분명히 보여준다. 이에 대한 궁극적 해법은 제로 트러스트 원칙의 운영 환경 적용이다. 사용자뿐 아니라 시스템 간 호출에도 최소 권한과 지속적 인증을 부여하고, 네트워크 위치에 기반한 암묵적 신뢰를 제거해야 한다. 또한 패치 공백이 발생할 수밖에 없다는 사실을 전제로, 가상 패치, 이상 행위 탐지, 그리고 위협 인텔리전스 기반의 선제적 차단 체계를 동시에 가동하는 것이 요구된다.
교육 및 공공 부문은 예산과 인력의 한계로 패치 속도가 상업 부문을 따라가기 어렵다. 따라서 차선책으로 외부 노출 최소화, 관리 인터페이스 분리, 그리고 클라우드 기반 탐지 기능 도입을 우선 과제로 삼아야 할 시점이다. ShinyHunters의 다음 표적이 어디가 될지는 알 수 없으나, PeopleSoft를 운영하는 모든 기관은 2주간의 침묵이 어떤 결과를 만들 수 있는지 분명히 목격한 셈이다.
- CVE-2026-35273는 인증 없는 RCE를 허용하는 PeopleSoft 제로데이로, 2026-05-27부터 2026-06-09까지 약 2주간 실제 데이터 유출에 악용됐다.
- 공격은 Mandiant가 추적한 UNC6240 클러스터이며, ShinyHunters 소행으로 귀속됐다.
- Oracle의 공식 권고는 6월 10일에 공개돼 패치 공백이 발생했고, 대학이 주요 표적이 됐다.
- 완화는 패치뿐 아니라 관리 콘솔 노출 차단, SIEM 룰 추가, DLP 강화 등 다층적 접근이 효과적이다.
- 제로데이 시대에는 제로 트러스트 원칙과 위협 인텔리전스 활용이 필수 운영 요소로 자리 잡아야 한다.
출처