오라클 EBS 겨냥한 클롭, 피닉스 대학서 350만 명 정보 유출

오라클 EBS(E-Business Suite) 사태와 관련된 피해자가 하나 더 나왔다. 미국 피닉스대학교다. 약 350만 명의 학생(졸업생 포함), 교직원, 교수, 협력 업체 직원들의 정보가 유출된 것으로 확인됐다. 이 사건의 배후에는 클롭(Cl0p)이라는 악명 높은 랜섬웨어 그룹이 있는 것으로 보인다고 보안 기업 컴패리테크(Comparitech)가 밝혔다.

실제 침해 일자

오라클 EBS를 통한 클롭의 침투가 처음 탐지된 건 11월 21일의 일이다. 하지만 이미 그 전에 클롭은 다크웹에서 운영되는 데이터 공개 사이트를 통해 자신들이 대학으로부터 입수한 정보를 공개했었다. 그러니까, 대학 측은 다크웹에 데이터가 공개되기 전에는 침해 사실을 알지도 못했던 것이다. 그 후 추가 조사를 진행했는데, 공격자들은 이미 2025년 8월에 무단 침입에 성공했다는 사실이 밝혀졌다.

침투 방법은 오라클 EBS의 제로데이 취약점을 익스플로잇 하는 것이었다. 이 취약점은 CVE-2025-61882로, 익스플로잇에 성공한 공격자는 인증 단계를 거치지 않고도 원격 코드를 실행할 수 있게 된다. 클롭은 이 전에도 다양한 기업이나 대학 기관들을 이 취약점을 통해 침해했었다. 엔보이에어(Envoy Air), 다트머스대학, 하버드대학, 펜실베이니아대학 등이 여기에 포함된다. 아직 피해 사실이 확인되지는 않았지만, 클롭이 스스로 침해했다고 주장하는 기업과 기관 중에는 로지텍(Logitech), 워싱턴포스트 등도 있다.

클롭은 독특한 랜섬웨어 조직으로 분류된다. 일반 랜섬웨어 조직들처럼 피해자의 네트워크나 시스템을 일부 파고들어 랜섬웨어를 심거나 데이터를 빼돌리는 게 아니라, 기업과 기관들에서 널리 사용되는 솔루션의 취약점을 발굴해 악용한다. 오라클 EBS는 각종 대학들은 물론 국제적 규모의 기업들 사이에서 인기리에 사용되는 소프트웨어로, 여기서 발견된 취약점 하나가 클롭에게는 톡톡한 효자 노릇을 하고 있다는 걸 피해자 목록을 통해 알 수 있다.

수년 전부터도 클롭은 이런 전략을 구사해 왔었다. 그러면서 기업들 사이에서 널리 사용되는 파일 전송 소프트웨어들의 제로데이가 적극 악용되기도 했었다. 
1) 무브잇(MOVEit) : CVE-2023-34362
2) 고애니웨어(GoAnywhere) : CVE-2023-0669
3) 클레오스위트(Cleo Suite) : CVE-2024-50623

어떤 피해 있었나?

피닉스대학 측에서 공개한 바, 현재 공격자들에게 빼앗긴 정보는 이름, 연락처, 생년월일, 사회 보장 번호, 은행 계좌 번호라고 한다. 일부 라우팅 번호도 포함돼 있는 것으로 밝혀졌다. 한 가지 주의해야 할 사실은, 피닉스대학 측은 범인을 클롭이라고 공식 지명하지 않았다는 것이다. 여러 매체들은 오라클 EBS의 제로데이가 악용됐다는 점에서 클롭을 유력한 용의자로 지목하고 있다. 

대학 측은 이번 사건의 피해자인 것으로 보이는 당사자들 한 사람 한 사람에게 연락을 취해 사실을 알리고 있다고 한다. “다크웹의 추이를 전문가들과 모니터링 하고 있습니다. 앞으로 12개월 간 무료 신원 보호 서비스를 제공할 것입니다. 이번 사건과 관련하여 추가 사기에 휘말릴 경우 최대 100만 달러를 보상할 계획이기도 합니다.”

컴패리테크 측은 이 사건이 2025년 벌어진 정보 유출 사고 중 가장 규모가 큰 것 중 하나라고 설명한다. “사건의 영향을 직접적으로 받은 데이터의 용량을 기준으로 했을 때 올 한 해 전 세계에서 벌어진 랜섬웨어 사건 중 4번째 규모를 자랑합니다. 기업들은 여러 가지 경로로 랜섬웨어의 위협을 받는 중입니다. 클롭은 독특한 랜섬웨어이긴 하지만 소수의 예외라 볼 수 없고, 오히려 주류 위협으로 인정받아야 할 것입니다.”

CVE-2025-61882 익스플로잇 대응법

오라클 EBS를 사용하고 있다면 이번 사안을 관심 있게 지켜봐야 할 필요가 있다. 다행히 오라클 측은 이미 해당 취약점에 대한 공식 패치를 진작부터 개발해 배포하고 있다. 따라서 이를 지금이라도 빠르게 적용하는 게 가장 안전한 방법이라 할 수 있다. 패치 후에는 BI 퍼블리셔(BI Publisher, 오라클의 보고서 생성 엔진)가 정상적으로 작동하는지 확인하고, 로그에 익스플로잇 시도나 비정상적인 흔적이 남겨져 있는지 살펴야 한다. 

그 다음으로는 EBS 자체를 보호해야 한다. 웹 인터페이스를 인터넷에 직접 노출시키지 말고, VPN을 거치게 하는 편이 안전하다고 보안 전문가들은 조언한다. “가장 중요한 건 BI퍼블리셔에서 외부 URL을 참조하지 못하게 차단하는 겁니다. 사용하지 않는 BI퍼블리셔는 아예 비활성화 해두는 것이 좋고요. 이번 공격이 BI퍼블리셔가 악성 XSLT를 처리하면서 자바 코드를 동시에 실행하는 게 가능하기에 발생하는 것이라는 것을 기억하면 방어의 윤곽이 잡힐 겁니다.”🆃🆃🅔

by 문가용 기자(anotherphase@thetechedge.ai)

Related Materials

• University of Phoenix discloses data breach after Oracle hack - BleepingComputer, 2025년 (Oracle E‑Business Suite 해킹 이후 UoPX가 데이터 유출을 공개하고, Cl0p가 CVE‑2025‑61882 제로데이로 EBS를 악용한 광범위 캠페인의 일부라는 점을 설명)
• Universities Confirm Oracle EBS Breaches as Cl0p Campaign Expands - The Cyber Syrup, 2025년 (University of Phoenix와 University of Pennsylvania 등 여러 대학이 Oracle EBS 침해 및 Cl0p 캠페인 연관성을 공식 확인한 배경과 기술적 특징 정리)
• Clop's New Extortion Wave Hits Oracle E‑Business Suite - BlackFog, 2025년 (Oracle EBS 제로데이 악용, 데이터 탈취 후 협박 메일 발송 등 Cl0p의 새로운 갈취 전술과 피해 조직 목록(대학 포함)을 분석)
• 3.5 Million Affected by University of Phoenix Data Breach - SecurityWeek, 2025년 (Oracle EBS 해킹 캠페인으로 인해 University of Phoenix에서 약 350만 명이 영향 받았다는 규모, 노출된 정보 유형, Cl0p 연관 조사 상황을 정리)

오라클 EBS 사태의 두 번째 피해자는 엔보이에어

💡Editor’s Pick - 오라클 EBS 제로데이 공격, 점점 확대되는 듯 - 첫 번째 하버드에 이어 엔보이에어에서 피해 발견돼 - 클롭의 고효율 공격 전술, 아직까지 효과적 오라클 이비즈니스 스위트(Oracle E-Business Suite, EBS)와 관련된 해킹 사고의 피해자 중 하나가 밝혀졌다. 미국 아메리칸항공사 산하 운항사이자 텍사스의 지역 항공사인 엔보이에어(Envoy Air)

The Tech Edge문가용 기자

하버드대학, 클롭에 당했나? 오라클 EBS가 문제였나?

💡Editor’s Pick - 하버드대학의 정보 확보했다 주장하는 클롭 - 곧 정보 열람 가능한 링크 공개할 것이라고 예고 - 어쩌면 오라클 EBS와 관련된 사건일 수도 악명 높은 해킹 그룹 클롭(Cl0p)이 미국의 하버드대학교를 해킹했다고 주장했다. 그러면서 자신들의 다크웹 사이트에 하버드대학 전용 페이지를 따로 신설했다. 클롭은 조만간 해당 페이지를 통해 자신들이

The Tech Edge문가용 기자