오라클 EBS 사태의 두 번째 피해자는 엔보이에어

오라클 이비즈니스 스위트(Oracle E-Business Suite, EBS)와 관련된 해킹 사고의 피해자 중 하나가 밝혀졌다. 미국 아메리칸항공사 산하 운항사이자 텍사스의 지역 항공사인 엔보이에어(Envoy Air)다. 사측이 직접 10월 17일에 불법 침해가 있었음을 확인했다고 발표했다. 공격자들은 클롭(Cl0p)이라고 알려진 해킹 조직으로 보이며, EBS의 제로데이 취약점을 익스플로잇 함으로써 수많은 EBS 사용 기업들을 침해한 것으로 알려져 있다.

사건의 기원, 오라클 EBS
오라클의 EBS는 기업의 자산 관리 솔루션으로, 국제적 규모의 기업들 사이에서 널리 사용된다. 얼마 전 보안 기업 맨디언트(Mandiant)에서 “클롭으로 보이는 사이버 공격자들이 EBS의 제로데이 취약점을 공략해 다수 민감 데이터를 훔쳐냈다”고 발표했으며, “그 후 클롭은 피해 기업들에 협박 메시지를 보내고 있다”고 경고했다. 이 캠페인은 9월 29일부터 시작된 것으로 알려져 있다. 이와 관련된 상세한 내용은 본지 기사를 통해 참고가 가능하다.

여기서 문제가 된 EBS의 제로데이 취약점은 CVE-2025-61882이다. 익스플로잇에 성공할 경우 공격자는 로그인 과정을 거치지 않고도 원격에서 시스템을 장악할 수 있게 된다. EBS 12.2.3-12.2.14 버전에서 발견된다. 초고위험도 취약점(CVSS 기준 9.8점)으로, 오라클 측에서는 10월 4일자 보안 권고문을 통해 패치를 배포하기 시작했다. 

엔보이, 어떤 피해 입었나
엔보이에어가 현재까지 발표한 내용에 따르면 “고객들의 민감한 데이터에는 큰 영향이 없었다”고 한다. 또한 “항공편과 공항을 운영하는 데에도 지장이 없었다”고 주장했다. 일부 사업 운영과 관련된 문건들과 일부 파트너사들의 연락처 등이 유출됐을 뿐이라고 한다. 그 중에 ‘기밀’에 해당하는 것 아직까지 없는 것으로 파악되고 있다. 물론 이것은 초기 조사 결과이고, 시간이 지나면서 더 큰 피해가 확인될 가능성도 없지 않다.

엔보이에어는 이번 EBS 사태의 피해자로서는 두 번째로 확인된 사례다. 첫 번째는 하버드대학이었다. 이 내용 역시 본지에서 10월 13일자 기사로 다룬 바 있다. 클롭은 하버드대학에서부터 1.3TB의 데이터를 훔쳤다고 주장하고 있는데, 아직까지 사실 여부는 밝혀지지 않고 있다. 하버드 측에서도 별다른 발표를 하지 않고 있다.

더 커질 수 있는 사태
이 사태는 클롭 랜섬웨어의 트레이드마크와 같은 ‘고효율 공격’의 전형이라 할 수 있다. 클롭은 이전부터 랜섬웨어 조직으로서 악명을 떨쳐왔는데, 어는 순간부터 새로운 차원의 공격을 시작했다. 기업들 사이에서 인기가 높은 앱의 제로데이 취약점을 찾아낸 후, 이를 통해 한꺼번에 여러 곳에서 데이터를 갈취해 협박하는 전략을 즐겨 구사하고 있는 것. 고애니웨어(GoAnywhere)나 무브잇(MOVEit) 등 기업용 파일 전송 프로그램을 해킹해 수많은 사용자 기업들을 침해한 것이 대표적 사례다. 

기업들 사이에서 널리 사용되는 솔루션은 얼마든지 많은데 왜 일부 파일 전송 프로그램과 EBS를 노리고 있는 것일까? 이 솔루션들에는 기업들의 민감한 데이터가 항시 존재해 있기 때문이다. 즉, 클롭은 기업 환경에서 가장 아픈 부분을 정확히 알고 있다고 할 수 있다. 랜섬웨어 공격으로 여러 기업이나 사용자를 개별적으로 노리는 대신 공통적으로 존재하는 취약점을 일괄적으로 노리면 공격에 들어가는 비용이 크게 절감된다. 이번 사태만 해도 EBS 하나만 파고 들었을 뿐인데 벌써 하버드와 엔보이라는 굵직한 피해자가 나왔다.

이는 더 많은 피해자가 숨어 있을 수 있다는 의미가 된다. 위에서 언급한 고애니웨어나 무브잇 해킹 사태로 인한 피해자들은 아직도 다 공개되지 않았으며, 따라서 피해 규모도 정확히 집계되지 않고 있다. 해당 솔루션들이 광범위하게 사용되고 있다는 걸 감안하면, 클롭 스스로도 자신이 입힌 피해를 다 파악하지 못하고 있을 가능성마저 존재한다. 이번 EBS 사태 역시 조만간 세 번째, 네 번째 피해자가 나올 공산이 크다.

오라클의 패치, 늦었다
이번 EBS 사태의 규모가 적지 않을 거라고 예상하는 또 다른 이유는 패치 등장 시점이 상당히 늦었기 때문이다. 현재까지 밝혀진 바에 의하면 문제의 CVE-2025-61882 취약점은 최소 석달 동안 익스플로잇 되고 있었다고 한다. 긴급 패치가 나온 게 10월 4일이었는데, 이미 공격자들은 7월부터 활발히 공략했던 것으로 분석된 것이다. 이는 제로데이 취약점의 특성이기도 하다. 공격자가 먼저 발견한 취약점이기 때문에 방어자나 개발사 입장에서 공격이 진행되는 걸 알아채기 힘들다.

이 때문에 오라클 EBS 사용 기업이라면 10월 4일 긴급 패치를 지금이라도 빠르게 적용해야 한다고 보안 전문가들은 입을 모으고 있다. 패치가 나온 시점도 이미 늦었는데, 지금까지 패치를 하지 않고 있다면 더더욱 늦게 된다는 것이다. 

클롭이 이미 취약점을 통해 들어와 공격을 하고 나간 상태라면 패치를 통해 문제가 완전히 해결되지 않는다는 것도 기억해야 한다. EBS 사용자들은 로그 확인을 통해 수상한 이력이 남겨져 있지 않은지 확인하고, 수상한 점이 발견된다면 그에 따른 추가 조사와 조치를 취해야 한다.

Related Materials

• American Airlines Subsidiary Envoy Confirms Oracle Data Theft Attack, BleepingComputer, 2024년
• American Airlines Subsidiary Hit by Clop Ransomware in Oracle Zero-Day Attack, Breached Company, 2024년
• Envoy Air Data Breach: Clop Ransomware Exploits Oracle E-Business Suite Zero-Day (CVE-2025-61882), Rescana, 2024년
• CVE-2025-61882 Mass Exploitation — Oracle E-Business Suite Under Attack by Cl0p Ransomware, Resecurity, 2024년

오라클 자산 관리 솔루션 노리는 캠페인 성행, 혹시 클롭?

💡Editor’s Pick - 대기업 자산 관리 솔루션 노리는 공격 - 데이터 훔쳤다는 협박 메일로부터 공격 시작 - 배후에 클롭 랜섬웨어 있을 가능성 높아 보여 구글의 보안 자회사 맨디언트(Mandiant)가 최근 새로운 악성 캠페인을 발견해 세상에 공개했다. 배후 세력으로 가장 유력한 건 악명 높은 랜섬웨어 단체인 클롭(Cl0p)이라고 한다.

The Tech Edge문가용 기자

하버드대학, 클롭에 당했나? 오라클 EBS가 문제였나?

💡Editor’s Pick - 하버드대학의 정보 확보했다 주장하는 클롭 - 곧 정보 열람 가능한 링크 공개할 것이라고 예고 - 어쩌면 오라클 EBS와 관련된 사건일 수도 악명 높은 해킹 그룹 클롭(Cl0p)이 미국의 하버드대학교를 해킹했다고 주장했다. 그러면서 자신들의 다크웹 사이트에 하버드대학 전용 페이지를 따로 신설했다. 클롭은 조만간 해당 페이지를 통해 자신들이

The Tech Edge문가용 기자