오라클 EBS 겨냥한 클롭, 피닉스 대학서 350만 명 정보 유출
- 오라클 EBS의 제로데이 취약점 악용
- 학생, 교수, 교직원 등 350만 명 정보 새나가
- 오라클 EBS 사용자라면 최신화 필수
오라클 EBS(E-Business Suite) 사태와 관련된 피해자가 하나 더 나왔다. 미국 피닉스대학교다. 약 350만 명의 학생(졸업생 포함), 교직원, 교수, 협력 업체 직원들의 정보가 유출된 것으로 확인됐다. 이 사건의 배후에는 클롭(Cl0p)이라는 악명 높은 랜섬웨어 그룹이 있는 것으로 보인다고 보안 기업 컴패리테크(Comparitech)가 밝혔다.
실제 침해 일자
오라클 EBS를 통한 클롭의 침투가 처음 탐지된 건 11월 21일의 일이다. 하지만 이미 그 전에 클롭은 다크웹에서 운영되는 데이터 공개 사이트를 통해 자신들이 대학으로부터 입수한 정보를 공개했었다. 그러니까, 대학 측은 다크웹에 데이터가 공개되기 전에는 침해 사실을 알지도 못했던 것이다. 그 후 추가 조사를 진행했는데, 공격자들은 이미 2025년 8월에 무단 침입에 성공했다는 사실이 밝혀졌다.
침투 방법은 오라클 EBS의 제로데이 취약점을 익스플로잇 하는 것이었다. 이 취약점은 CVE-2025-61882로, 익스플로잇에 성공한 공격자는 인증 단계를 거치지 않고도 원격 코드를 실행할 수 있게 된다. 클롭은 이 전에도 다양한 기업이나 대학 기관들을 이 취약점을 통해 침해했었다. 엔보이에어(Envoy Air), 다트머스대학, 하버드대학, 펜실베이니아대학 등이 여기에 포함된다. 아직 피해 사실이 확인되지는 않았지만, 클롭이 스스로 침해했다고 주장하는 기업과 기관 중에는 로지텍(Logitech), 워싱턴포스트 등도 있다.
클롭은 독특한 랜섬웨어 조직으로 분류된다. 일반 랜섬웨어 조직들처럼 피해자의 네트워크나 시스템을 일부 파고들어 랜섬웨어를 심거나 데이터를 빼돌리는 게 아니라, 기업과 기관들에서 널리 사용되는 솔루션의 취약점을 발굴해 악용한다. 오라클 EBS는 각종 대학들은 물론 국제적 규모의 기업들 사이에서 인기리에 사용되는 소프트웨어로, 여기서 발견된 취약점 하나가 클롭에게는 톡톡한 효자 노릇을 하고 있다는 걸 피해자 목록을 통해 알 수 있다.
수년 전부터도 클롭은 이런 전략을 구사해 왔었다. 그러면서 기업들 사이에서 널리 사용되는 파일 전송 소프트웨어들의 제로데이가 적극 악용되기도 했었다.
1) 무브잇(MOVEit) : CVE-2023-34362
2) 고애니웨어(GoAnywhere) : CVE-2023-0669
3) 클레오스위트(Cleo Suite) : CVE-2024-50623
어떤 피해 있었나?
피닉스대학 측에서 공개한 바, 현재 공격자들에게 빼앗긴 정보는 이름, 연락처, 생년월일, 사회 보장 번호, 은행 계좌 번호라고 한다. 일부 라우팅 번호도 포함돼 있는 것으로 밝혀졌다. 한 가지 주의해야 할 사실은, 피닉스대학 측은 범인을 클롭이라고 공식 지명하지 않았다는 것이다. 여러 매체들은 오라클 EBS의 제로데이가 악용됐다는 점에서 클롭을 유력한 용의자로 지목하고 있다.
대학 측은 이번 사건의 피해자인 것으로 보이는 당사자들 한 사람 한 사람에게 연락을 취해 사실을 알리고 있다고 한다. “다크웹의 추이를 전문가들과 모니터링 하고 있습니다. 앞으로 12개월 간 무료 신원 보호 서비스를 제공할 것입니다. 이번 사건과 관련하여 추가 사기에 휘말릴 경우 최대 100만 달러를 보상할 계획이기도 합니다.”
컴패리테크 측은 이 사건이 2025년 벌어진 정보 유출 사고 중 가장 규모가 큰 것 중 하나라고 설명한다. “사건의 영향을 직접적으로 받은 데이터의 용량을 기준으로 했을 때 올 한 해 전 세계에서 벌어진 랜섬웨어 사건 중 4번째 규모를 자랑합니다. 기업들은 여러 가지 경로로 랜섬웨어의 위협을 받는 중입니다. 클롭은 독특한 랜섬웨어이긴 하지만 소수의 예외라 볼 수 없고, 오히려 주류 위협으로 인정받아야 할 것입니다.”
CVE-2025-61882 익스플로잇 대응법
오라클 EBS를 사용하고 있다면 이번 사안을 관심 있게 지켜봐야 할 필요가 있다. 다행히 오라클 측은 이미 해당 취약점에 대한 공식 패치를 진작부터 개발해 배포하고 있다. 따라서 이를 지금이라도 빠르게 적용하는 게 가장 안전한 방법이라 할 수 있다. 패치 후에는 BI 퍼블리셔(BI Publisher, 오라클의 보고서 생성 엔진)가 정상적으로 작동하는지 확인하고, 로그에 익스플로잇 시도나 비정상적인 흔적이 남겨져 있는지 살펴야 한다.
그 다음으로는 EBS 자체를 보호해야 한다. 웹 인터페이스를 인터넷에 직접 노출시키지 말고, VPN을 거치게 하는 편이 안전하다고 보안 전문가들은 조언한다. “가장 중요한 건 BI퍼블리셔에서 외부 URL을 참조하지 못하게 차단하는 겁니다. 사용하지 않는 BI퍼블리셔는 아예 비활성화 해두는 것이 좋고요. 이번 공격이 BI퍼블리셔가 악성 XSLT를 처리하면서 자바 코드를 동시에 실행하는 게 가능하기에 발생하는 것이라는 것을 기억하면 방어의 윤곽이 잡힐 겁니다.”🆃🆃🅔
by 문가용 기자(anotherphase@thetechedge.ai)
Related Materials
- University of Phoenix discloses data breach after Oracle hack - BleepingComputer, 2025년 (Oracle E‑Business Suite 해킹 이후 UoPX가 데이터 유출을 공개하고, Cl0p가 CVE‑2025‑61882 제로데이로 EBS를 악용한 광범위 캠페인의 일부라는 점을 설명)
- Universities Confirm Oracle EBS Breaches as Cl0p Campaign Expands - The Cyber Syrup, 2025년 (University of Phoenix와 University of Pennsylvania 등 여러 대학이 Oracle EBS 침해 및 Cl0p 캠페인 연관성을 공식 확인한 배경과 기술적 특징 정리)
- Clop's New Extortion Wave Hits Oracle E‑Business Suite - BlackFog, 2025년 (Oracle EBS 제로데이 악용, 데이터 탈취 후 협박 메일 발송 등 Cl0p의 새로운 갈취 전술과 피해 조직 목록(대학 포함)을 분석)
- 3.5 Million Affected by University of Phoenix Data Breach - SecurityWeek, 2025년 (Oracle EBS 해킹 캠페인으로 인해 University of Phoenix에서 약 350만 명이 영향 받았다는 규모, 노출된 정보 유형, Cl0p 연관 조사 상황을 정리)
문가용 기자
문가용 기자
![[TE머묾] 이민국에 대항하는 미국 시민들, 한국에도 힌트가 되다](https://images.unsplash.com/photo-1762468046498-461933328de6?crop=entropy&cs=tinysrgb&fit=max&fm=jpg&ixid=M3wxMTc3M3wwfDF8c2VhcmNofDIyfHxjaXRpemVuc2hpcHxlbnwwfHx8fDE3Njc4ODE0NjR8MA&ixlib=rb-4.1.0&q=80&w=600)
