ShinyHunters가 CVE-2026-35273(CVSS 9.8) Oracle PeopleSoft 제로데이와 Canvas LMS 취약점을 연속 악용해 2026년 세계 교육기관 100곳 이상을 침해했다. Mandiant 분석 기반 공격 체인과 MITRE ATT&CK 매핑 정리.
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
2026년 6월 9일 새벽, 미국 동부의 한 대학 시스템 담당자가 WebLogic 배포 디렉터리에서 텍스트 파일 하나를 발견했다. 파일명은 README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT였다. 같은 순간 세계 100곳 이상의 기관 담당자들이 동일한 파일을 보고 있었다. 배후는 ShinyHunters(UNC6240)다. 2020년부터 300건 이상의 침해를 주도해 온 재정 동기 위협 행위자다.
이 그룹이 교육 부문을 반복적으로 겨냥하는 이유는 단순하다. 대학은 수만 명의 학생·교직원 PII를 한 시스템에 집중 보관하면서도 엔터프라이즈 수준의 보안 투자가 어렵다. ShinyHunters는 2026년 한 해에만 이 구조적 취약점을 두 번 연속으로 활용했다.
| 항목 | 내용 |
|---|---|
| CVE | |
| CVSS | 9.8 (Critical) |
| 공격 벡터 | 네트워크, 인증 불필요 |
| 영향 범위 | 100개 기관 이상, 68% 대학 |
| 패치일 | 2026-06-10 (임시 패치) |
ShinyHunters는 Mandiant(Google GTIG)가 UNC6240으로 추적하는 재정 동기 위협 행위자로, 2020년부터 데이터 탈취와 공개 협박 모델을 반복해왔다. Google GTIG는 역할별로 세 클러스터(UNC6040·UNC6240·UNC6661)로 세분화해 추적한다. 단일 그룹인지 느슨한 연합체인지는 공개 정보로 확정되지 않으며, BreachForums(현재 FBI 압수) 등 다크웹 마켓플레이스를 주요 활동 무대로 삼아왔다.
구성원 중 프랑스 국적의 Sébastien Raoult(Sezyo Kaizen)가 2022년 체포되어 2024년 미국 연방 법원에서 3년 징역·500만 달러 배상 판결을 받았다. 그러나 그룹은 2025~2026년에도 활발히 활동하며 규모를 키웠다.
식별자 일람
ShinyHunters의 운영 시그니처는 세 가지로 압축된다.
첫째, 대규모 데이터 탈취 후 공개 협박. 피해 기관이 협상하지 않으면 ShinyHunters 데이터 유출 사이트(DLS)에 데이터를 게시한다. Canvas 침해(2026년 4월) 때는 330개 기관 포털을 변조하며 개별 기관에 직접 협박 메시지를 발송하는 방식으로 압박을 전환했다.
둘째, 합법 도구 위장 악용. 2026년 Oracle 캠페인에서 오픈소스 원격 관리 도구 MeshCentral을 C2로 전환했다. 에이전트 파일명은 meshagent64-azure-ops.exe처럼 Microsoft Azure 서비스를 모방했고, C2 도메인 azurenetfiles.net은 Azure NetApp Files를 사칭했다. 합법 소프트웨어를 재활용하므로 시그니처 기반 탐지가 어렵다.
셋째, 연속 공격으로 동일 섹터 반복 타격. 2026년 한 해만 교육 부문을 Canvas LMS(4월)와 Oracle PeopleSoft(5~6월)로 두 번 연속 타격했다. Canvas 협상이 진행 중이던 시점에 PeopleSoft 공격을 개시한 것은 병렬 협박 압박이다. 동시에, Canvas와 PeopleSoft를 함께 운영하는 대학이 피해 기관의 대다수를 차지해 두 캠페인이 동일 피해자 풀을 서로 다른 경로로 겨냥한 셈이었다.
ShinyHunters가 공개적으로 이름을 알린 첫 대형 작전이다. 인도네시아 최대 이커머스 플랫폼 Tokopedia에서 9,100만 건의 고객 데이터를 탈취해 다크웹에서 500달러에 판매했다. 같은 해 Mathway(2,500만 건), Microsoft GitHub 저장소 등 다수를 연달아 침해하며 역량을 과시했다.
미국 통신사 AT&T 무선 가입자 7천만 명의 정보가 유출됐다. 이름·전화번호·사회보장번호(SSN)까지 포함됐다. AT&T는 초기 유출을 부인했으나 2024년 사실을 시인했다. 침해 시점과 공식 인정 사이의 3년 공백은 ShinyHunters가 데이터를 즉시 공개하지 않고 협박 레버리지로 장기 보유하는 전술을 쓴다는 점을 보여준다.
ShinyHunters가 교육 부문을 본격 겨냥한 전환점이다. Instructure의 Canvas LMS Free-For-Teacher 버전 취약점을 이용해 2026년 4월 25일 침투에 성공했다. 유출 규모는 3.65TB, 약 2억 7천500만 건으로 학생·교직원 이름, 이메일, 학번, 내부 메시지가 포함됐다. 8,809개 교육기관이 영향을 받았으며, 이는 단일 LMS 플랫폼 경유 침해로는 공개 기록 중 최대 규모다. 초기 협상 시한이 지나자 ShinyHunters는 330개 기관의 Canvas 로그인 포털을 변조하고 개별 기관에 직접 협박 메시지를 발송했다. 이후 Instructure는 랜섬을 지불하고 데이터 파기에 대한 디지털 확인을 받았다고 밝혔다.
Canvas 침해가 진행되던 중 ShinyHunters는 Oracle PeopleSoft의 무인증 RCE 취약점 을 발견하고 즉시 활용했다. Oracle이 패치를 배포한 2026년 6월 10일까지 이 취약점은 14일간 제로데이 상태로 방치됐다. SecurityWeek은 영국 노팅엄 대학(University of Nottingham)이 피해를 공식 확인했다고 보도했다.
공격은 2026년 5월 27일 스테이징 인프라 구축으로 시작됐다. SSRF 취약점을 통해 두 엔드포인트(/PSEMHUB/hub, /PSIGW/HttpListeningConnector)에서 원격 코드를 실행했다. 이후 MeshCentral 에이전트를 배포해 지속적인 C2 채널을 확보했다. 이후 내부 SSH 크리덴셜 스프레잉으로 횡이동하며 시스템 전반에 변조 파일을 배포했다. 탈취한 데이터는 zstd 압축 후 ShinyHunters DLS 서버로 전송됐다. 피해는 100개 이상 기관에 이르렀으며 68%가 대학과 전문대학이었다.
Oracle 캠페인에서 확인된 ShinyHunters의 핵심 도구는 MeshCentral이다. 오픈소스 원격 관리 플랫폼인 MeshCentral을 C2로 전환하면 별도의 악성코드를 개발하지 않아도 된다. 에이전트 자체는 정상 소프트웨어이므로 행위 기반 탐지 없이는 설치 단계에서 포착되기 어렵다.
Canvas 캠페인과 Oracle 캠페인 모두에서 데이터 압축에 zstd가 사용됐다. zstd는 멀티스레드 압축을 지원해 대용량 데이터를 짧은 시간에 반출할 수 있으며, 표준 아카이브 포맷을 벗어나므로 DLP 시스템의 패턴 탐지가 어렵다.
ShinyHunters가 2026년 Oracle 캠페인에서 사용한 주요 MITRE ATT&CK 기법은 다음과 같다.
| MITRE ID | 기법명 | Oracle 캠페인 적용 |
|---|---|---|
| T1190 | Exploit Public-Facing Application | PSEMHUB 엔드포인트 |
| T1219 | Remote Access Software | MeshCentral Azure 위장 |
| T1021.004 | SSH 원격 서비스 | 내부 호스트 크리덴셜 스프레이 |
| T1560 | 데이터 압축 | zstd 멀티스레드 압축 |
| T1041 | C2 채널 유출 | DLS 서버 SSH 직접 전송 |
| T1491 | 변조 (Defacement) | README 파일 WebLogic 전파 |
| T1657 | 금전 갈취 | 피해 기관 직접 협박 연락 |
이번 캠페인에서 한국 기관 피해가 명시적으로 보고되지는 않았다. 그러나 Oracle PeopleSoft는 국내 여러 대학이 교무·행정 ERP로 도입하고 있어 동일 취약점에 노출됐을 가능성이 있다. Oracle이 2026년 6월 10일 임시 패치를 배포했으므로, 국내 도입 기관의 노출 여부는 패치 적용 시점에 따라 갈린다.
ShinyHunters는 Canvas에 이어 PeopleSoft를 연속 타격하며 교육 부문을 겨냥했다. 이는 단일 플랫폼 패치로 끝나지 않는 구조적 위협임을 보여준다. 국내에서도 Canvas와 PeopleSoft를 동시에 운영하는 대학이 존재하는 만큼, 이 그룹의 다음 공격 경로는 동일한 논리를 따를 수 있다.
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.