Oracle PeopleSoft 취약점, 국내 ERP 보안 점검 시급

전문가 통찰 및 한줄평 (Insight)

Oracle PeopleSoft 시스템의 심각한 취약점 발견은 국내 대기업 및 공공기관의 ERP 보안 실태를 되돌아보는 계기가 되어야 한다.

당장의 패치 적용과 더불어, 지속적인 보안 감사 체계 구축이 필수적이다.

최근 글로벌 IT 업계에 Oracle PeopleSoft 솔루션의 심각한 취약점이 발견되었다는 소식이 전해져 IT 보안 업계의 이목이 집중되고 있습니다.

특히, 이 취약점이 이미 제로데이 공격에 악용되고 있다는 보고까지 나오면서, 해당 솔루션을 사용 중인 전 세계 기업들이 긴장하고 있습니다.

Oracle PeopleSoft, 어떤 솔루션인가

PeopleSoft는 Oracle이 제공하는 통합 기업 자원 관리(ERP) 소프트웨어 제품군으로, 주로 대규모 조직에서 인사, 급여, 재무, 공급망 관리, 캠퍼스 운영 등 핵심 비즈니스 기능을 통합적으로 관리하는 데 사용됩니다.

즉, 기업의 근간을 이루는 중요한 시스템이라 할 수 있습니다.

이번에 발견된 취약점(CVE-2026-35273)은 PeopleSoft Enterprise PeopleTools 버전 8.61 및 8.62, 그리고 PeopleSoft Enterprise Applications 사용자에게 영향을 미치며, 인증되지 않은 공격자가 원격으로 코드를 실행할 수 있는 심각한 수준으로 분류됩니다.

문제는 Oracle이 이번 취약점에 대해 즉각적인 전체 패치 대신, 일부 완화 조치(Mitigation)만을 우선적으로 배포했다는 점입니다.

이는 공격자가 이미 시스템에 접근할 가능성이 높다는 것을 시사합니다.

제로데이 공격, 현실화되다

이번 취약점은 악명 높은 해커 그룹인 ShinyHunters에 의해 표적이 된 것으로 알려졌습니다.

이들은 300개가 넘는 PeopleSoft 시스템을 대상으로 공격을 감행했으며, 이를 통해 100개가 넘는 조직의 데이터에 접근한 것으로 전해졌습니다.

해커들은 기존 취약점과 이번에 발견된 제로데이 취약점을 연계하여 공격을 진행했다고 주장하고 있습니다.

Mandiant CTO 찰스 카르마칼은 제로데이 취약점 악용에 대한 경고를 보내기도 했습니다.

ShinyHunters 그룹이 대규모 기업의 데이터를 탈취하여 협박에 이용하는 수법은 이미 여러 차례 보고된 바 있어, 이번 공격 역시 이러한 맥락에서 이해할 수 있습니다.

특히 교육 분야가 가장 큰 피해를 입었으며, 노팅엄 대학교는 이번 공격으로 인해 상당한 규모의 데이터 유출이 발생했음을 시인했습니다.

국내 ERP 보안, 현황은?

Oracle PeopleSoft는 해외에서 널리 사용되지만, 국내에서도 일부 대기업 및 금융권에서 ERP 시스템의 일부로 도입하여 활용하고 있을 가능성이 있습니다.

따라서 이번 취약점 발견은 국내 기업들에게도 심각한 보안 위협으로 다가올 수 있습니다.

특히, 많은 기업들이 IT 시스템의 복잡성과 레거시 시스템의 관리 부담으로 인해 보안 패치 적용에 있어 늦어지는 경향이 있습니다.

또한, 일부 기업은 보안 업데이트보다는 기능 업데이트에 우선순위를 두는 경우도 많아, 잠재적인 위험에 노출되기 쉽습니다.

제 경험상, 국내 IT 현장에서는 외산 솔루션에 대한 보안 점검이 상대적으로 미흡한 경우가 많습니다.

“우리 회사는 문제없겠지”라는 안일한 생각으로 넘어갔다가는 심각한 데이터 유출 사고로 이어질 수 있습니다.

지금 당장 우리 회사의 ERP 시스템이 어떤 솔루션을 사용하고 있는지, 그리고 해당 솔루션에 보안 업데이트가 필요한지 면밀히 점검해야 할 시점입니다.

특히, Oracle WebLogic 서버 취약점이 최근 CISA로부터 경고받았다는 점을 고려할 때, Oracle 제품 전반에 대한 보안 강화가 시급하다고 볼 수 있습니다.

유사 기술 및 솔루션 비교

시장 파급 효과 및 전망

이번 Oracle PeopleSoft 취약점 이슈는 ERP 솔루션 시장 전반의 보안 강화 움직임을 촉발할 것으로 예상됩니다.

특히, 데이터 유출 및 랜섬웨어 공격에 대한 기업들의 경각심이 더욱 높아질 것입니다.

공격자들은 이러한 취약점을 악용하여 기업의 핵심 데이터를 탈취하고, 이를 바탕으로 막대한 금전적 이득을 취하려 할 것입니다.

따라서 기업들은 단순히 시스템을 도입하는 것을 넘어, 지속적인 보안 업데이트와 침해 사고 대응 계획을 수립하는 데 더 많은 투자와 노력을 기울여야 할 것입니다.

더불어, 보안 전문가들의 역할이 더욱 중요해질 것이며, 관련 보안 솔루션 시장 역시 성장할 것으로 전망됩니다.

한국 시장에서의 시사점

국내 기업 환경에서 Oracle PeopleSoft 솔루션이 실제로 얼마나 광범위하게 사용되고 있는지 정확한 통계는 부족하지만, 그 영향력은 무시할 수 없습니다.

만약 귀사가 PeopleSoft 솔루션을 사용하고 있다면, 보안 업데이트 적용 여부를 최우선 과제로 삼아야 합니다.

또한, Oracle 제품을 사용하지 않더라도, 이번 사태는 우리 기업의 ERP 시스템 전반에 대한 보안 점검의 필요성을 일깨워주는 경고등으로 받아들여야 합니다.

특히, 국내 대기업 및 금융 기관은 SAP S/4HANA, Microsoft Dynamics 365 등 다양한 ERP 솔루션을 사용하고 있으며, 이들 역시 복잡한 소프트웨어의 특성상 잠재적인 보안 취약점을 안고 있을 수 있습니다.

따라서 다음의 사항을 한국 기업들에게 적극적으로 권고합니다.

• ERP 시스템 전반의 보안 감사 강화: 현재 사용 중인 ERP 시스템의 버전 정보를 정확히 파악하고, 관련 보안 권고 사항이나 패치 적용 여부를 즉시 확인해야 합니다.
• 침해 사고 대응 계획(IRP) 수립 및 훈련: 만약의 사태에 대비하여, 데이터 유출 발생 시 신속하고 효과적으로 대응할 수 있는 절차를 마련하고, 정기적인 훈련을 통해 직원들의 대응 능력을 강화해야 합니다.
• 다단계 인증(MFA) 및 접근 통제 강화: ERP 시스템 접근 시 다단계 인증을 의무화하고, 역할 기반의 최소 권한 원칙을 철저히 적용하여 내부자 위협이나 비인가 접근을 최소화해야 합니다.

결론

Oracle PeopleSoft 취약점은 일부 해외 기업만의 문제가 아닌, 우리 기업들에게도 실질적인 위협이 될 수 있습니다.

IT 보안은 더 이상 선택이 아닌 필수이며, 기업의 존폐를 좌우할 수 있는 중요한 요소입니다.

이번 기회를 통해 기업들은 현재의 보안 태세를 점검하고, 미래를 위한 더욱 강력한 보안 전략을 수립해야 할 것입니다.

자주 묻는 질문 (FAQ)

Q: Oracle PeopleSoft 취약점(CVE-2026-35273)은 어떤 위험을 초래하는가?

A: 이 취약점은 인증되지 않은 공격자가 원격으로 코드를 실행할 수 있도록 하여, 시스템 제어권 탈취, 민감 데이터 유출, 랜섬웨어 감염 등 심각한 피해를 야기할 수 있습니다.

Q: 국내 기업들도 이 취약점에 영향을 받는가?

A: Oracle PeopleSoft 솔루션을 국내에서 사용 중인 기업이라면 직접적인 영향을 받을 수 있습니다.

또한, 이번 사건은 국내 다른 ERP 시스템 전반의 보안 점검 필요성을 강조하는 계기가 됩니다.

Q: Oracle은 이 취약점에 대해 어떤 조치를 취했는가?

A: Oracle은 보안 권고를 통해 해당 취약점의 완화 조치(Mitigation)를 권고했으며, 빠른 시일 내에 적용할 것을 강력히 권장하고 있습니다.

전체 패치보다는 완화 조치가 우선적으로 배포되었습니다.

Q: 기업이 취해야 할 즉각적인 대응 방안은 무엇인가?

A: 우선, 사용 중인 ERP 시스템의 버전 정보를 확인하고 Oracle의 보안 권고 사항에 따른 완화 조치를 신속하게 적용해야 합니다.

또한, 접근 통제 강화 및 침해 사고 대응 계획 점검도 병행해야 합니다.

출처: https://www.securityweek.com/oracle-addresses-peoplesoft-vulnerability-amid-reports-of-zero-day-attacks/

추천 서비스

바른비교,바른이사, 서경석의 이사방

애드팟 캠페인에 참여하여 혜택을 받아보세요! 상세 내용은 링크를 통해 확인 가능합니다.

법정의무교육, 스마트위드

애드팟 캠페인에 참여하여 혜택을 받아보세요! 상세 내용은 링크를 통해 확인 가능합니다.