대학·공공·대기업 인사·재무 시스템 겨냥한 공급망급 보안 리스크 부상

오라클이 PeopleSoft PeopleTools에서 인증 없이 원격 코드 실행으로 이어질 수 있는 치명적 취약점에 대해 긴급 보안 경보를 발령했다. 취약점 식별번호는 CVE-2026-35273이다. 오라클은 2026년 6월 10일 공개한 보안 권고에서 이 취약점이 네트워크를 통해 원격으로 악용될 수 있으며, 공격자가 사용자 인증 없이 시스템에 접근할 수 있다고 밝혔다.

이번 취약점의 심각도는 CVSS 3.1 기준 9.8점이다. 사실상 최고 위험군에 가까운 점수다. 공격 조건도 낮다. 공격 벡터는 네트워크이며, 공격 복잡도는 낮고, 권한은 필요하지 않으며, 사용자 상호작용도 요구되지 않는다. 기밀성, 무결성, 가용성 영향은 모두 ‘높음’으로 평가됐다. 이는 공격자가 취약한 PeopleSoft 환경을 장악할 경우 데이터 탈취, 시스템 변조, 서비스 중단이 모두 가능하다는 의미다.

이번 취약점이 특히 민감한 이유는 PeopleSoft가 단순한 업무용 소프트웨어가 아니기 때문이다. PeopleSoft는 대학, 공공기관, 대기업, 금융기관 등에서 인사, 급여, 재무, 학생 정보, 조직 관리 등 핵심 업무를 처리하는 엔터프라이즈 애플리케이션으로 활용돼 왔다. 따라서 취약점이 악용될 경우 단일 서버 침해를 넘어 조직의 핵심 운영 데이터가 노출될 가능성이 있다.

오라클 권고에 따르면 영향을 받는 제품은 PeopleSoft Enterprise PeopleTools 8.61과 8.62다. 취약한 구성 요소는 ‘Updates Environment Management’로 명시됐다. 이 구성 요소는 PeopleSoft 환경의 업데이트와 관리 흐름에 관련된 영역으로, 공격자가 HTTP를 통해 접근할 수 있는 경로에서 문제가 발생한 것으로 보인다. 오라클은 HTTP가 영향을 받는 프로토콜로 표시될 경우 HTTPS 등 보안 변형 프로토콜도 영향을 받을 수 있다고 설명했다.

보안 위험의 핵심은 ‘인증 전 공격’이다. 일반적인 취약점은 공격자가 내부 계정이나 낮은 수준의 권한을 먼저 확보해야 악용될 수 있다. 그러나 CVE-2026-35273은 인증이 필요 없다는 점에서 훨씬 위험하다. 외부에 노출된 PeopleSoft 서버가 있다면 공격자는 로그인 단계 이전에서 취약점을 탐색하고 악용을 시도할 수 있다. 이는 인터넷에 노출된 관리형 업무 시스템이 곧바로 공격 표면이 될 수 있다는 뜻이다.

오라클은 권고문에서 즉각적인 조치를 강하게 권고했다. 회사는 이번 완화 조치 적용을 “고우선순위 위험 감소 조치”로 규정하고, 고객들이 지체 없이 권고된 패치와 완화 조치를 적용해야 한다고 밝혔다. 또 고객들에게 적극 지원 중인 버전을 유지하고, Critical Patch Update, Critical Security Patch Update, Security Alert를 지체 없이 적용할 것을 권고했다.

이번 경보는 정기 보안 업데이트가 아니라 별도의 Security Alert로 공개됐다는 점에서도 주목된다. 오라클은 통상 분기별 Critical Patch Update를 통해 다수 취약점을 일괄 공개한다. 그러나 특정 취약점의 위험도가 높거나 즉각 대응이 필요하다고 판단될 경우 별도 보안 경보를 발령한다. CVE-2026-35273은 바로 이 범주에 속했다.

보안업계에서는 이번 취약점이 실제 공격에 악용됐을 가능성에도 주목하고 있다. 일부 보도와 보안 분석에 따르면 CVE-2026-35273은 패치 공개 이전부터 제로데이 형태로 악용됐다는 정황이 제기됐다. 특히 PeopleSoft 서버를 운영하는 대학과 조직들이 공격 대상이 됐고, 일부 공격자는 탈취 데이터를 빌미로 금전을 요구한 것으로 알려졌다. 다만 개별 피해 규모와 공격 주체에 대해서는 추가 확인이 필요한 상황이다.

중요한 점은 이번 취약점이 특정 산업에 국한되지 않는다는 사실이다. PeopleSoft는 인사·재무·행정 시스템의 기반으로 쓰이는 경우가 많다. 대학에서는 학생 정보와 교직원 인사 정보, 기업에서는 급여와 조직 관리 데이터, 공공기관에서는 행정 운영 정보가 연결될 수 있다. 공격자가 PeopleSoft를 장악하면 단순 웹 애플리케이션 침해가 아니라 조직 내부 운영 정보에 접근할 가능성이 생긴다.

취약한 버전을 운영하는 조직은 우선 PeopleTools 8.61 또는 8.62 사용 여부를 확인해야 한다. 이어 오라클이 제공한 패치 가용성 문서와 설치 지침에 따라 즉시 업데이트를 적용해야 한다. 외부에 노출된 PeopleSoft 인스턴스가 있다면 접근 통제, 방화벽 정책, VPN 제한, 웹 애플리케이션 방화벽 규칙도 함께 점검해야 한다. 패치만으로 충분하다고 보기 어려운 경우, 노출 자산을 임시로 차단하거나 관리 네트워크 뒤로 이동시키는 조치도 검토해야 한다.

이미 침해가 발생했는지 확인하는 절차도 필요하다. 인증 전 원격 공격 가능성이 있는 만큼 단순히 계정 로그인 기록만 확인해서는 충분하지 않다. 웹 접근 로그, 비정상 HTTP 요청, 관리자 기능 호출 흔적, 신규 파일 생성, 예기치 않은 프로세스 실행, 외부 전송 트래픽, PeopleSoft 관련 애플리케이션 로그를 함께 분석해야 한다. 특히 패치 공개 전후 기간에 외부 IP에서 반복적인 접근 시도나 비정상 요청이 있었는지 확인해야 한다.

이번 사건은 엔터프라이즈 업무 시스템 보안의 오래된 취약 지점을 다시 드러냈다. 기업과 기관은 ERP, HR, 재무, 학사행정 시스템을 핵심 업무 인프라로 사용하지만, 정작 이들 시스템은 오래된 버전으로 운영되거나 외부 연동을 위해 인터넷에 노출되는 경우가 많다. 패치 적용은 업무 중단 우려 때문에 지연되기 쉽고, 레거시 커스터마이징 때문에 업그레이드도 쉽지 않다. 공격자는 바로 이 지연과 복잡성을 노린다.

오라클은 지원 정책도 함께 강조했다. Security Alert를 통해 제공되는 패치와 완화 조치는 Premier Support 또는 Extended Support 단계에 있는 제품 버전에 한정된다. 지원이 종료된 이전 버전은 해당 취약점 존재 여부가 공식적으로 테스트되지 않을 수 있다. 그러나 오라클은 이전 버전도 영향을 받을 가능성이 높다고 보고, 고객들에게 지원 중인 버전으로 업그레이드할 것을 권고했다.

이는 보안 패치의 문제가 단순 기술 대응을 넘어 IT 거버넌스 문제임을 보여준다. 지원 종료 버전을 계속 운영하는 조직은 취약점이 공개돼도 공식 패치를 받지 못할 수 있다. 특히 PeopleSoft처럼 조직 핵심 데이터를 다루는 시스템에서 지원 종료 버전을 방치하는 것은 기술 부채를 넘어 경영 리스크로 이어질 수 있다.

이번 취약점 제보자는 TrendAI Zero Day Initiative의 Bobby Gould와 Minh Giang, TrendAI Research의 Lucas Miller로 명시됐다. 이는 외부 보안 연구자와 벤더 간 취약점 제보 체계가 여전히 중요한 역할을 하고 있음을 보여준다. 동시에 CVE 공개 이후 공격자들이 취약한 시스템을 빠르게 스캔할 가능성이 크기 때문에, 공개 시점 이후의 대응 속도도 매우 중요해졌다.

CVE-2026-35273은 단순히 또 하나의 고위험 취약점이 아니다. 인증 없이 원격에서 악용 가능하고, CVSS 9.8점을 받았으며, PeopleSoft라는 핵심 업무 플랫폼을 겨냥한다는 점에서 조직 보안팀이 즉시 대응해야 할 사안이다. 특히 대학, 공공기관, 대기업처럼 PeopleSoft를 장기간 운용해 온 조직은 자산 식별, 패치 적용, 침해 흔적 조사, 외부 노출 통제까지 한 번에 수행해야 한다.

결국 이번 경보의 본질은 분명하다. 패치가 가능한 조직과 그렇지 못한 조직 사이의 보안 격차가 곧 침해 가능성의 격차가 되고 있다. 오라클의 긴급 경보는 PeopleSoft 운영 조직에 단순 업데이트 알림이 아니라, 레거시 엔터프라이즈 시스템을 어떻게 보호할 것인가라는 구조적 질문을 던지고 있다.