(AI 생성 이미지)
구글 클라우드는 12일 자사 블로그를 통해 위협 인텔리전스 그룹(GTIG)과 맨디언트(Mandiant)가 ‘샤이니헌터스(ShinyHunters, 이하 UNC6240)’로 알려진 위협 행위자의 대규모 갈취 캠페인을 포착해 방어 조치와 탐지 방법을 공개했다고 밝혔다.
취약점 노출 위험을 감지한 구글은 전 세계 100여 개 이상의 기업 및 기관에 이 사실을 즉시 통지했다. 피해 대상의 68%는 대학을 비롯한 고등 교육 기관이었으며, 주로 미국에 집중되어 있으나 아시아태평양(APAC), 유럽·중동·아프리카(EMEA) 등 전 세계적으로 광범위한 영향을 미쳤다. 대응이 늦었던 일부 조직의 데이터는 결국 샤이니헌터스의 유출 사이트에 게시됐다.
공격에 악용된 취약점은 오라클 피플소프트 환경 관리 구성 요소에서 발견된 원격 코드 실행(RCE) 취약점 ‘CVE- 2026 -35273’이다. 이는 해커가 멀리서 네트워크를 통해 시스템에 접속한 뒤, 아무런 권한 없이도 악성 명령을 실행할 수 있게 만드는 치명적인 구멍이다. 보안 위험도를 뜻하는 CVSS 점수가 10점 만점에 9.8에 달할 만큼 위험하다. 특히 오라클이 정기 보안 권고를 발표하기 전인 지난 5월 27일부터 6월 9일 사이에 공격이 집중되면서, 보안 패치가 없는 ‘제로데이’ 상태로 악용됐다.
조사 결과 샤이니헌터스는 방어자들의 눈을 속이기 위해 마이크로소프트의 클라우드 서비스인 ‘애저(Azure)’ 시스템처럼 보이도록 도메인을 개설하고 정식 SSL 보안 인증서까지 발급받는 치밀함을 보였다. 이후 오픈소스 원격 관리 도구인 ‘메시센트럴(MeshCentral)’ 에이전트를 정상적인 클라우드 연결인 것처럼 꾸며 피해 시스템에 심고 내부 제어권을 장악했다.
내부 네트워크에 침투한 이후에는 자체 제작한 쉘 스크립트를 동원해 내부 호스트 파일을 분석하며 연결된 다른 서버들을 찾아냈다. 그 뒤 미리 준비한 관리자 계정 정보를 무차별 대입하는 방식으로 감염을 도미노처럼 확산시켰다. 이들은 공격에 성공한 시스템 내부에 갈취 및 변조 사실을 알리는 안내 파일을 남겼다.
구글은 오라클 피플소프트를 운영하는 모든 조직에 즉각적인 보안 완화 조치를 취할 것을 권고했다. 핵심 대책으로는 다중 서버 환경에서 ‘환경 관리 허브(EMHub)’ 서비스를 비활성화하거나, 단일 서버 구성일 경우 해당 애플리케이션을 완전히 제거하는 방안이 제시됐다.
만약 서비스를 즉시 중단하기 어려운 환경이라면 네트워크 경계나 방화벽 단에서 외부로부터의 ‘/PSEMHUB/*’ 및 ‘/PSIGW/HttpListeningConnector’ 경로 접근을 전면 차단해야 한다. 해당 기능은 시스템 관리를 위한 구성 요소로, 일반 사용자의 웹 브라우저 접속 환경에는 필요하지 않으므로 외부 접근을 막아도 서비스 운영에는 지장이 없다.
아울러 웹 서버 로그를 분석해 외부 IP에서 유입되는 비정상적인 HTTP POST 요청이나, 시스템이 자기 자신에게 요청을 보내게 만들어 보안을 우회하는 서버 측 요청 위조(SSRF) 시도가 있었는지 점검해야 한다. 파일시스템 내부에서 허가되지 않은 자바서버페이지(*.jsp) 파일이 생성되었는지 전수 조사하고, 시스템 재시작 시 악성 코드가 실행될 수 있는 XMLDecoder 관련 파일의 변경 이력도 필히 점검해야 한다.
구글과 맨디언트 측은 보안 권고를 통해 “이 취약점은 인증을 거치지 않고도 원격에서 악용될 수 있으며 치명적인 원격 코드 실행으로 이어질 수 있다”며 “조직들은 반드시 현재 지원되는 최신 버전을 유지하고 모든 필수 보안 패치와 보안 알림을 지체 없이 적용해야 한다”고 강력히 권고했다.
