
기업 회계·구매·물류를 관리하는 오라클 E-비즈니스 스위트(EBS)에서 CVSS 9.8점짜리 결제 모듈 결함이 발견됐습니다. 공격 코드가 공개되지도, 이전에 악용된 적도 없던 상태에서 주말 사이 실제 공격이 시작됐습니다. 인증 절차 없이 네트워크 접근만으로 서버를 통째로 장악할 수 있는 결함이라, 오라클 EBS 운영 기업이라면 지금 확인이 필요합니다.
오라클 EBS 취약점 한눈에 보기
| 항목 | 내용 |
|---|---|
| 결함 번호 | CVE-2026-46817 |
| CVSS 점수 | 9.8 (10점 만점, 치명적) |
| 위치 | 오라클 페이먼츠(Oracle Payments)의 파일 전송(File Transmission) 기능 |
| 결함 유형 | 인증 없이 네트워크로 접근해 서버 전체를 장악 가능 |
| 영향 버전 | EBS 12.2.3 ~ 12.2.15 |
| 패치 시점 | 2026년 5월 정례 보안 업데이트(CPU) |
타임라인 — 공격 코드 없이도 뚫린 사흘
6월 27~28일 주말 사이, 위협정보 업체 디퓨즈드(Defused)가 운영하는 오라클 EBS 허니팟(가짜 미끼 서버)에 실제 공격 시도가 포착됐습니다. 이 시점까지 이 결함을 이용한 공개 공격 코드는 존재하지 않았고, 이전에 악용된 기록도 없었습니다.
6월 29일 이 사실이 알려졌고, 인터넷 보안 감시 기관 섀도서버(Shadowserver)는 7월 1일 기준 인터넷에 노출된 오라클 EBS 서버가 약 950대에 달한다고 집계했습니다. 다만 이 중 몇 대가 패치를 마쳤는지는 아직 확인되지 않았습니다. 흥미로운 점은, 이렇게 실공격이 확인됐는데도 미국 CISA의 ‘실제 악용 취약점(KEV)’ 목록에는 아직 이름이 오르지 않았다는 것입니다.
오라클 EBS라서 더 불안한 이유
오라클 EBS는 낯선 이름이 아닙니다. 2025년 8월부터 랜섬웨어·데이터 탈취 조직 클롭(Clop)이 오라클 EBS의 다른 결함(CVE-2025-61882)을 악용해 하버드대, 펜실베이니아대, 다트머스대, 피닉스대 등 여러 대학과 워싱턴포스트, 로지텍 같은 기업의 데이터를 훔쳐 몸값을 요구했습니다.
최근에는 오라클의 또 다른 전사관리 제품 피플소프트(PeopleSoft)에서도 제로데이 결함이 악용돼 노팅엄대, 닛산 등이 피해를 입었습니다. CISA는 2021년 11월 이후 오라클 제품에서만 44건의 취약점을 KEV 목록에 올렸고, 이 중 13건은 랜섬웨어 공격에도 쓰였습니다. 오라클 EBS 계열 취약점이 공개되면 대형 침해로 번진 전례가 반복돼 온 셈입니다.
오라클 EBS 운영 중이라면 확인할 것
- IT 부서에 오라클 EBS가 2026년 5월 정례 보안 업데이트(CPU)까지 적용됐는지 확인하세요.
- 오라클 페이먼츠의 파일 전송 기능을 외부 인터넷에서 접근 가능하게 열어뒀는지 점검하고, 불필요하면 접근을 차단하세요.
- 서버가 12.2.3~12.2.15 버전대에 해당하는지 먼저 확인하세요.
- 패치 적용이 늦었다면 최근 접속 로그와 파일 전송 이력에 이상 징후가 있는지부터 살펴보세요.
시사점
이번 사건에서 눈여겨볼 지점은 결함의 점수(9.8)보다 순서입니다. 보통은 공격 코드가 먼저 공개되고 그 뒤에 실제 공격이 뒤따르는데, 이번엔 공개된 코드 하나 없이 공격이 먼저 시작됐습니다. 오라클 EBS처럼 이미 대형 침해 전례가 쌓인 시스템일수록, 공격자들이 패치 내용을 스스로 분석해 먼저 움직일 가능성을 염두에 둬야 합니다. “공격 코드가 안 나왔으니 아직 여유가 있다”는 판단은 이 계열 시스템에서는 더 이상 안전한 근거가 되지 못합니다.