메인 콘텐츠로 이동하기
  1. 보안 시사 분석/
  2. 2026/
  3. Week 05/

Dartmouth College Oracle EBS 제로데이 공격 (2025년 8월)

·5559 자·12 분
Security-Issues-Analysis 제로데이 Oracle Clop 대학보안 공급망공격 CVE-2025-61882
목차

Dartmouth College Oracle EBS 제로데이 공격 (2025년 8월) #

1. 사건 개요 #

기본 정보 #

  • 발생 시기: 2025년 8월 9일 ~ 8월 12일 (3일간)
  • 공개 시기: 2025년 11월 25일 (약 3개월 후)
  • 피해 조직: Dartmouth College (미국 아이비리그 사립대학)
  • 공격 그룹: Clop (러시아 연계 랜섬웨어 그룹)
  • 사건 유형: 제로데이 취약점 악용을 통한 데이터 탈취

피해 규모 #

  • 영향 받은 인원: 35,000명 이상 (메인주만 1,494명, 전체는 더 많을 것으로 추정)
  • 탈취 데이터량: 226GB
  • 데이터 유형: 개인정보 (이름, 주소), 사회보장번호 (SSN), 금융 계좌 정보

조직 배경 #

  • 설립: 1769년 (미국에서 9번째로 오래된 대학)
  • 기부금: 90억 달러 (2025년 6월 30일 기준)
  • 학부생: 4,000명 이상
  • 위치: 뉴햄프셔주 하노버

2. 원인 분석 #

기술적 원인 #

제로데이 취약점 (CVE-2025-61882) #

  • 대상 소프트웨어: Oracle E-Business Suite (EBS) 버전 12.2.3 ~ 12.2.14
  • 취약점 유형: 인증되지 않은 원격 코드 실행 (Unauthenticated RCE)
  • CVSS 점수: 9.8 (Critical)
  • 영향 받는 구성요소: BI Publisher Integration
  • 악용 방식: 조작된 HTTP 요청을 특정 엔드포인트로 전송
    • /OA_HTML/OA.jsp?page=/oracle/apps/xdo/oa/template/webui/TemplatePreviewPG
    • /OA_HTML/configurator/UiServlet
    • /OA_HTML/SyncServlet

제로데이의 특성 #

  • Oracle이 인지하지 못한 취약점을 Clop이 발견 및 악용
  • 패치가 존재하지 않는 상태에서 공격 발생
  • 인증 없이 원격에서 코드 실행 가능 → 매우 높은 위험도
  • 기밀성, 무결성, 가용성 모두에 영향

기술적 방어 실패 지점 #

  • 제로데이 탐지 실패: 서명 기반 침입 탐지 시스템으로는 알려지지 않은 공격 패턴 탐지 불가
  • 이상 행위 탐지 부재: Oracle EBS에 대한 비정상적인 HTTP 요청 패턴을 실시간으로 탐지하지 못함
  • 네트워크 세분화 부족: Oracle EBS가 외부에서 직접 접근 가능한 상태였을 가능성
  • 데이터 유출 모니터링 부재: 226GB의 데이터가 3일간 외부로 전송되는 것을 탐지하지 못함

관리적 원인 #

패치 관리 프로세스의 한계 #

  • 제로데이 공격의 특성상 패치가 존재하지 않았지만, 일반적인 패치 관리 프로세스의 지연은 추가 피해를 발생시킬 수 있음
  • Oracle이 10월에 패치를 배포했으나, 이미 8월에 공격이 발생한 상태

고위험 시스템 보호 부족 #

  • Oracle EBS는 재무, 인사, 학생 정보 등 민감한 데이터를 통합 관리하는 핵심 시스템
  • 이러한 고위험 시스템에 대한 특별 보호 조치 (WAF, 추가 인증 계층 등) 부재
  • ERP 시스템 특성상 여러 부서가 접근하므로 접근 통제 복잡성 증가

공급업체 의존성 #

  • Oracle의 보안 업데이트에 전적으로 의존하는 구조
  • 자체적인 취약점 평가 및 보안 강화 조치 부족
  • 공급업체 보안 관행에 대한 지속적인 검증 미흡

인적 원인 #

보안 인식 부족 #

  • 대학 환경은 개방성을 중시하는 문화로 인해 보안이 상대적으로 소홀할 수 있음
  • ERP 시스템 관리자들의 최신 위협 동향 파악 부족

사고 대응 지연 #

  • 공격 발생: 2025년 8월 9-12일
  • 영향 받은 파일 식별: 2025년 10월 30일 (약 2.5개월 후)
  • 공개 및 통지: 2025년 11월 24-25일 (약 3.5개월 후)
  • 이러한 지연은 피해자들의 대응 시간을 단축시키고 추가 피해 가능성을 증가시킴

3. 영향 분석 #

개인정보 보호 영향 #

노출된 정보의 민감도 #

  • 사회보장번호 (SSN): 미국에서 신원 도용의 핵심 정보
  • 금융 계좌 정보: 직접적인 금전적 피해 가능성
  • 이름, 주소: 표적 공격 및 피싱에 악용 가능

피해자 범위 #

  • 대부분 뉴햄프셔 주민
  • 학생, 교직원, 기부자, 동문 등 다양한 이해관계자 포함
  • 총 35,000명 이상 영향 (정확한 전체 숫자는 미공개)

법적 및 규제 영향 #

통지 의무 위반 가능성 #

  • 메인주 법무장관에게는 11월 24일 신고
  • 많은 주에서 데이터 유출 발견 후 60일 이내 통지 요구
  • Hernando County 사례에서 보듯이 지연된 통지는 최대 $500,000의 벌금 부과 가능

개인정보 보호법 준수 #

  • SSN 노출은 연방 및 주 개인정보 보호법 위반 가능성
  • FERPA (가족교육권 및 프라이시법): 학생 정보 보호 의무

재정적 영향 #

직접 비용 #

  • 포렌식 조사 비용
  • 1년간 무료 신용 모니터링 및 신원 도용 보호 서비스 제공
  • 법률 자문 비용
  • 시스템 복구 및 보안 강화 비용

간접 비용 #

  • 평판 손상으로 인한 기부금 감소 가능성
  • 입학 지원자 감소 우려
  • 법적 소송 비용

운영 영향 #

  • 보안 조사 및 복구 작업으로 인한 IT 리소스 집중
  • 긴급 패치 적용 및 시스템 강화 작업
  • 영향 받은 개인들의 문의 응대

4. Clop 랜섬웨어 그룹 분석 #

그룹 특성 #

  • 별칭: GRACEFUL SPIDER, Cl0p, TA505
  • 국가 연계: 러시아
  • 활동 시작: 2019년경
  • 전문 분야: 대규모 데이터 탈취 및 이중 갈취

공격 이력 및 패턴 #

과거 주요 캠페인 #

  1. Accellion FTA 공격 (2021)

    • 파일 전송 어플라이언스 취약점 악용
    • 다수의 기업 및 기관 피해

  2. GoAnywhere MFT 공격 (2023)

    • 관리형 파일 전송 솔루션 침해
    • 100개 이상 조직 피해

  3. MOVEit Transfer 공격 (2023)

    • 역대 최대 규모 공급망 공격
    • 2,770개 이상 조직 피해
    • 수천만 명의 개인정보 노출

  4. Cleo 소프트웨어 공격

  5. Oracle EBS 캠페인 (2025)

    • Dartmouth를 포함한 100개 이상 조직 공격
    • 제로데이 취약점 악용

공격 방식의 특징 #

공급망 공격 선호 #

  • 널리 사용되는 엔터프라이즈 소프트웨어의 취약점을 발견하여 악용
  • 한 번의 취약점 발견으로 다수의 조직을 동시에 공격 가능
  • 효율성과 확장성 극대화

데이터 탈취 중심 #

  • 최근에는 암호화보다 데이터 탈취에 집중
  • 다크웹 유출 사이트 운영
  • 협상 실패 시 데이터 공개로 압박

타겟 선정 #

  • 민감한 데이터를 다루는 조직 (의료, 교육, 금융, 정부)
  • 지불 능력이 있는 조직
  • Oracle EBS를 사용하는 대형 기관 표적

현재 활동 상황 #

Oracle EBS 캠페인 규모 #

  • 2025년 8월부터 시작
  • 100개 이상 조직 침해 주장
  • 약 절반의 데이터를 다크웹에 공개

확인된 피해 조직 #

  • 교육 기관: Dartmouth College, Harvard University, Southern Illinois University, Tulane University
  • 언론: The Washington Post
  • 기업: Logitech, GlobalLogic, Mazda, Canon 자회사
  • 항공: Envoy Air (American Airlines 자회사)
  • 기타: Cox Enterprises

5. 예방 및 대응 방안 #

기술적 대응 #

제로데이 방어 전략 #

  • 이상 행위 기반 탐지 시스템 도입:

    • 서명 기반 탐지의 한계 극복
    • 비정상적인 HTTP 요청 패턴 탐지
    • 머신러닝 기반 이상 탐지
    • Dartmouth 교수 Saydjari의 제안: “알려지지 않은 공격도 비정상적이고 의심스러운 활동으로 탐지 가능”

  • 가상 패칭 (Virtual Patching):

    • WAF (Web Application Firewall)를 통한 취약점 완화
    • 실제 패치 적용 전까지 임시 보호
    • 알려진 공격 패턴 차단

  • 네트워크 세분화:

    • Oracle EBS를 별도 네트워크 세그먼트에 격리
    • 인터넷에서 직접 접근 불가능하도록 설정
    • VPN 또는 제로 트러스트 네트워크 접근 (ZTNA)를 통해서만 접근 허용

  • 데이터 유출 방지 (DLP):

    • 226GB 데이터가 3일간 외부로 전송되는 것을 차단했어야 함
    • 대용량 데이터 전송 모니터링 및 차단
    • 민감 데이터 식별 및 전송 제한

시스템 강화 #

  • 최소 권한 원칙:

    • Oracle EBS 내에서도 역할 기반 접근 통제 (RBAC)
    • 필요한 모듈에만 접근 권한 부여

  • 다단계 인증 (MFA):

    • 모든 관리자 계정에 MFA 의무화
    • 특권 작업 수행 시 추가 인증

  • 정기적인 보안 평가:

    • 침투 테스트
    • 취약점 스캐닝
    • 설정 검토

관리적 대응 #

공급업체 관리 강화 #

  • Oracle과의 협력 강화:

    • 보안 패치 우선 적용 프로그램 참여
    • 베타 패치 테스트 참여
    • 보안 권고 즉시 수신 및 검토

  • 공급업체 보안 실사:

    • Oracle의 보안 관행 정기 검토
    • 사고 대응 계획 공유
    • SLA에 보안 요구사항 명시

데이터 최소화 #

  • 불필요한 SSN 및 금융 정보 저장 금지
  • 데이터 보존 정책 수립 및 이행
  • 암호화 및 토큰화를 통한 민감 데이터 보호

사고 대응 계획 #

  • 신속한 탐지 및 통지:

    • 자동화된 이상 탐지 시스템
    • 사고 대응 팀 24/7 운영
    • 법적 통지 기한 준수

  • 투명성:

    • Saydjari 교수 제안: “항공 안전위원회처럼 보안 침해 사례를 투명하게 연구하고 공유하여 업계 전체의 보안 향상”

인적 대응 #

보안 인식 교육 #

  • ERP 시스템 관리자 대상 특화 교육
  • 제로데이 위협 및 대응 방법 교육
  • 정기적인 모의 훈련

조직 문화 변화 #

  • 보안과 개방성의 균형
  • 보안을 IT 부서만의 문제가 아닌 전사적 책임으로 인식

법적 및 정책 대응 #

규제 강화 필요성 #

  • Vermont 법무장관 Charity Clark: “데이터 프라이시 법규 강화 필요”
  • 소비자가 온라인 거래 시 안전하다고 느끼지 못하면 시장 전체가 위축됨

보상 및 지원 #

  • 영향 받은 개인에게 1년간 무료 신용 모니터링 제공
  • 전담 지원 전화 운영
  • 신원 도용 발생 시 추가 지원

6. 컨설팅 관점 #

고객사 커뮤니케이션 전략 #

비기술 직원 대상 #

Dartmouth에서 발생한 사건은 Oracle이라는 소프트웨어 회사가 알지 못했던 보안 결함을 해커들이 먼저 발견하고 악용한 경우입니다. 이를 제로데이 공격이라고 합니다.

문제는 이 소프트웨어가 학교의 재무, 인사, 학생 정보를 모두 관리하는 핵심 시스템이었다는 점입니다. 해커들은 3일간 접근하여 35,000명 이상의 사회보장번호와 은행 계좌 정보를 포함한 226GB의 데이터를 훔쳐갔습니다.

이는 단순히 Dartmouth만의 문제가 아닙니다. 같은 방법으로 Harvard, Washington Post 등 100개 이상의 조직이 피해를 입었습니다.

기술팀 대상 #

CVE-2025-61882는 Oracle EBS의 BI Publisher Integration 구성요소에 존재하는 인증되지 않은 RCE 취약점으로, CVSS 9.8의 크리티컬 등급입니다. Clop 그룹은 특정 HTTP 엔드포인트에 조작된 요청을 보내 코드를 실행했습니다.

방어 관점에서 주목할 점은 서명 기반 IDS로는 제로데이를 탐지할 수 없다는 것입니다. 이상 행위 기반 탐지, 특히 UEBA와 같은 솔루션이 필요합니다. 또한 226GB의 데이터가 3일간 외부로 전송되는 것을 탐지하지 못했다는 것은 DLP와 네트워크 모니터링의 부재를 의미합니다.

Oracle EBS와 같은 ERP 시스템은 인터넷에 직접 노출되어서는 안 되며, ZTNA 또는 VPN을 통한 접근만 허용해야 합니다. 또한 WAF를 통한 가상 패칭으로 패치 적용 전까지 보호할 수 있었습니다.

경영진 대상 #

이번 침해는 단일 소프트웨어 취약점이 100개 이상의 조직에 동시에 영향을 미칠 수 있음을 보여줍니다. Oracle EBS는 전 세계 수많은 대학과 기업이 사용하는 표준 ERP 시스템입니다.

재정적 영향은 직접 비용(포렌식, 신용 모니터링, 법률 자문)뿐만 아니라 평판 손상, 잠재적 소송, 규제 벌금 등을 포함합니다. Dartmouth의 경우 90억 달러 기부금을 보유한 명문대학으로서 기부자들의 신뢰 상실은 장기적인 재정 영향을 미칠 수 있습니다.

또한 법적 통지 의무를 제때 이행하지 못하면 추가 벌금이 부과될 수 있습니다. 일부 주에서는 최대 $500,000까지 벌금을 부과합니다.

보안 투자는 선택이 아닌 필수이며, 특히 민감한 데이터를 다루는 핵심 시스템에 대한 다층 방어가 필요합니다.

예상 질문 및 답변 #

Q1: 제로데이 공격은 방어할 수 없는 것 아닌가요? A: 완벽한 방어는 어렵지만, 다층 방어로 피해를 최소화할 수 있습니다. 이상 행위 탐지, 네트워크 세분화, WAF, DLP 등을 조합하면 제로데이 공격도 조기에 탐지하거나 피해를 제한할 수 있습니다.

Q2: Oracle은 왜 이 취약점을 미리 발견하지 못했나요? A: 복잡한 소프트웨어에는 수많은 코드와 구성 요소가 있어 모든 취약점을 사전에 발견하기는 현실적으로 불가능합니다. 중요한 것은 취약점 발견 후 신속하게 패치를 배포하고, 사용자는 이를 즉시 적용하는 것입니다.

Q3: 왜 3개월이나 지나서 공개했나요? A: 일반적으로 침해 발생 → 탐지 → 조사 → 영향 분석 → 통지 과정이 필요합니다. 하지만 3개월은 상당히 긴 시간이며, 많은 주에서 60일 이내 통지를 요구합니다. 이는 개선이 필요한 부분입니다.

Q4: 이 공격으로 몸값을 요구받았나요? A: Clop은 다크웹 유출 사이트에 데이터를 게시하며 몸값을 요구하는 것으로 알려져 있습니다. Dartmouth가 지불했는지는 공개되지 않았습니다.

Q5: 다른 대학들도 위험한가요? A: Oracle EBS를 사용하는 모든 조직이 위험했으며, 실제로 Harvard, Southern Illinois, Tulane 등 다수의 대학이 피해를 입었습니다. 패치를 적용하지 않은 조직은 여전히 위험합니다.

권고사항 요약 #

즉시 조치 (긴급) #

  1. Oracle EBS 패치 상태 확인 및 즉시 적용 (CVE-2025-61882)
  2. Oracle EBS에 대한 인터넷 직접 접근 차단
  3. 비정상적인 데이터 유출 여부 로그 검토
  4. 영향 받은 개인에게 통지 및 신용 모니터링 제공
  5. 법 집행 기관 및 규제 당국에 신고

단기 조치 (1-3개월) #

  1. WAF 배포로 Oracle EBS 보호
  2. 이상 행위 탐지 시스템 도입
  3. DLP 솔루션 구축
  4. 네트워크 세분화 강화
  5. 모든 관리자 계정에 MFA 적용

중장기 조치 (3-12개월) #

  1. 제로 트러스트 아키텍처로 전환
  2. SSN 및 금융 정보 최소화 및 암호화
  3. Oracle 보안 권고 자동 수신 및 우선 패치 프로그램 참여
  4. 정기적인 침투 테스트 및 보안 평가
  5. 전사적 보안 인식 교육 프로그램

7. 학습 내용 및 인사이트 #

핵심 학습 사항 #

  1. 공급망 공격의 효율성

    • Clop은 한 가지 제로데이 취약점을 발견하여 100개 이상의 조직을 동시에 공격했습니다.
    • 널리 사용되는 엔터프라이즈 소프트웨어는 공격자에게 매우 매력적인 타겟입니다.
    • 과거 MOVEit, GoAnywhere, Accellion 등에서도 같은 패턴이 반복되었습니다.

  2. 제로데이 방어의 패러다임 전환 필요성

    • 서명 기반 탐지만으로는 제로데이를 막을 수 없습니다.
    • 이상 행위 기반 탐지, 네트워크 세분화, 가상 패칭 등 다층 방어가 필수적입니다.
    • Dartmouth 교수 Saydjari의 지적처럼, 알려지지 않은 공격도 비정상적 활동으로 탐지 가능합니다.

  3. 고위험 시스템에 대한 특별 보호 필요성

    • Oracle EBS와 같은 ERP 시스템은 조직의 핵심 데이터를 통합 관리합니다.
    • 이러한 시스템에는 일반 시스템보다 훨씬 강화된 보안 통제가 필요합니다.
    • 인터넷 직접 노출은 절대 피해야 합니다.

  4. 신속한 탐지 및 대응의 중요성

    • 공격 발생 (8월) → 발견 (10월) → 공개 (11월)의 긴 시간차는 피해자들의 대응 시간을 단축시켰습니다.
    • 법적 통지 기한 준수 실패는 추가 벌금을 유발할 수 있습니다.
    • 자동화된 탐지 및 대응 체계가 필수적입니다.

  5. 투명성과 학습 문화의 필요성

    • Saydjari 교수는 항공 안전위원회처럼 보안 침해를 투명하게 연구하고 공유할 것을 제안했습니다.
    • 현재는 많은 조직이 평판 우려로 침해 사실을 최소화하려 하지만, 이는 전체 업계의 보안 향상을 저해합니다.
    • 공유와 학습을 통해 유사 사고를 예방할 수 있습니다.

  6. 민감 데이터 관리의 기본 원칙

    • SSN과 금융 정보는 반드시 필요한 경우에만 수집하고 저장해야 합니다.
    • 저장 시에는 강력한 암호화 또는 토큰화를 적용해야 합니다.
    • 데이터 보존 정책을 수립하고 불필요한 데이터는 안전하게 삭제해야 합니다.

추가 학습 필요 영역 #

  1. Oracle EBS의 아키텍처 및 보안 강화 방법
  2. Clop 그룹의 TTP 상세 분석 및 IOC 수집
  3. 교육 기관 특유의 보안 도전과제 및 모범 사례
  4. 제로데이 취약점 시장 및 발견 프로세스
  5. 데이터 유출 통지 법규의 주별 차이 및 준수 방법
  6. ERP 시스템 보안 평가 방법론

보안 담당자를 위한 실무 적용 포인트 #

  1. 귀사의 Oracle EBS 또는 유사 ERP 시스템 보안 점검:

    • 최신 패치 적용 상태 확인
    • 인터넷 노출 여부 점검
    • 접근 통제 및 인증 강도 평가
    • 이상 행위 탐지 체계 구축

  2. 공급업체 관리 강화:

    • Oracle 등 중요 공급업체의 보안 권고 자동 수신
    • 긴급 패치 우선 적용 프로세스 수립
    • 공급업체 보안 사고 발생 시 영향 평가 절차 마련

  3. 제로데이 대응 능력 구축:

    • WAF 또는 NGFW를 통한 가상 패칭 능력
    • 이상 행위 탐지 시스템 (UEBA, NDR 등) 도입
    • 네트워크 세분화로 피해 확산 방지

  4. 데이터 보호 우선순위 설정:

    • SSN, 금융 정보 등 고위험 데이터 식별
    • 암호화, 토큰화, 접근 통제 강화
    • 데이터 최소화 및 보존 정책 이행

  5. 사고 대응 계획 점검:

    • 제로데이 공격 시나리오 포함
    • 법적 통지 기한 준수 프로세스
    • 신속한 영향 평가 및 피해자 통지 절차

  6. 조직 문화 개선:

    • 보안 침해를 숨기지 말고 학습 기회로 활용
    • 투명성과 책임성 강화
    • 전사적 보안 인식 제고