‘M이코노미뉴스’에서 한 주간 놓치지 말아야 할 국내외 주요 IT 이슈 3가지를 선정, 요약해 보고자 합니다. 이번 주에는 미국 피닉스대가 올해 8월 오라클 해킹 이후 피해 사실을 공개했다는 소식, 일본 경시청이 인터넷 카페 ‘가이카쓰 클럽’ 운영회사를 720회나 해킹한 고교생을 체포했다는 소식, 영국 보안기업이 북한 해킹그룹 라자루스의 사이버 공격 작전을 포착했다는 소식 등 세 가지를 단신으로 소개합니다.

1. 미국 피닉스대, 오라클 해킹 이후 데이터 침해 사실 공개

미국 피닉스대(UoPX)는 올해 8월 발생한 오라클 E-비즈니스 스위트(Oracle EBS) 제로데이 취약점 악용 공격으로 인해 대규모 데이터 유출 피해를 입은 사실을 공식 발표했다. 1976년 설립된 이 대학은 약 3000명의 교수진과 10만명 이상의 재학생을 보유한 미국 최대 사립 영리 대학 중 하나다. 학교를 운영하는 피닉스 에듀케이션 파트너스는 미국 증권거래위원회(SEC)에 8-K 보고서를 제출했다. 학교 측은 학생, 교직원, 졸업생, 공급업체의 이름, 생년월일, 사회보장번호, 은행 계좌 정보 등 민감한 개인정보가 무단 접근당했다고 밝혔다.

블리핑컴퓨터 측의 보도에 따르면 이번 침해는 클롭(Clop) 랜섬웨어 조직의 협박 캠페인과 연관된 것으로 추정된다. 클롭 해킹그룹은 올해 8월 초부터 CVE-2025-61882 취약점을 악용해 미국 내 여러 대학과 글로벌 기업의 오라클 EBS 시스템을 공격해 왔다. 하버드대, 펜실베이니아대 등도 피해를 입었으며, 글로벌로직(GlobalLogic), 로지텍(Logitech), 워싱턴 포스트, 아메리칸 항공 자회사 Envoy Air 등 수십 개 기업의 데이터가 다크웹에 유출된 것으로 확인됐다.

한편 지난 10월 말부터 미국 내 대학들을 겨냥한 보이스피싱 공격도 잇따르고 있다. 하버드, 펜실베이니아, 프린스턴대는 기부자 및 동문 활동 시스템이 침해돼 학생, 교수진, 직원, 동문들의 개인정보가 유출됐다고 밝혔다. 클롭은 과거에도 GoAnywhere MFT, Accellion FTA, Cleo, MOVEit Transfer 등 다양한 플랫폼을 공격해 수천 개 기관에 피해를 줬다. 이번 사건 역시 교육기관과 기업을 동시에 겨냥한 대규모 데이터 유출 캠페인의 연장선으로 평가된다.

2. 일본, '가이카쓰 CLUB' 운영회사 사이버 공격한 고교생 체포

인터넷 카페인 '가이카쓰 CLUB' 등을 운영하는 회사에 720만회 이상 사이버 공격을 가해 개인정보를 유출시킨 혐의를 받는 오사카의 고등학교 2학년 남학생(17세)이 불법접속 금지법 위반 등의 혐의로 경찰에 체포됐다.

경시청에 따르면 이 피의자는 올해 1월에 인터넷 카페인 '가이카쓰 CLUB(快活CLUB)' 등을 운영하는 회사가 관리하는 공식 애플리케이션 서버에 약 724만회에 걸쳐 회원 정보를 보내도록 지시하는 불법 지령 정보를 보내 회사 업무 등을 방해했다. 피의자는 챗GPT에 질문하며 해킹 프로그램을 개선해 공격을 성공시켰고, 불법접속 금지법 위반과 위계업무 방해 혐의를 받고 있다. 또 디스코드에서 공격을 예고하거나 생중계해 사이버 범죄 커뮤니티 내에서 이미 알려진 인물인 것으로도 보도됐다.

고등학생의 사이버 공격을 받은 뒤, 이용객의 이름과 주소 등 개인정보 724만 건이 누출된 것으로 알려졌다. 피의자는 조사에서 혐의를 거의 인정한 뒤 “시스템의 취약점을 찾는 것이 재밌있었다”다고 진술했다. 고등학생은 불법 접속 프로그램을 자체 제작하고 있으며, 회사 측이 강구한 대책을 빠져나가는 방법 등을 생성형 AI에 질문해, 프로그램을 수정했었다는 것으로, 경시청이 자세하게 조사하고 있다. 경시청은 피의자가 지난해 5월, 불법으로 입수한 타인의 신용카드 정보를 사용해 인기 애니메이션 '포켓 몬스터'의 트레이딩 카드 등을 판매 사이트에서 구매했다며, 절도 혐의로 지난 11월에 체포해 수사 중이었다.

3. 북한 라자루스 그룹, 영국에서 원격 사이버 공격 작전 포착돼

영국 사이버 보안 기업 BCA LTD와 위협 정보 이니셔티브 노스스캔(NorthScan), 악성코드 분석 플랫폼 ANY.RUN이 공동으로 진행한 조사에서 북한 라자루스 그룹의 ‘페이머스 천리마(Famous Chollima)’ 부서와 연계된 원격 IT 근로자 네트워크가 발견됐다. 연구팀은 처음으로 라자루스 운영자의 활동을 실시간으로 감시했는데, 이는 실제 노트북이 아닌 ANY.RUN이 구축한 장기 실행 샌드박스 환경이었다.

해커뉴스는 이달 2일 보도를 통해 이번 조사는 노드스캔(NorthScan)의 연구원 하이너 가르시아가 ‘Blaze’라는 가명을 사용해 미국 개발자를 사칭하면서 시작됐다고 밝혔다. 라자루스 측은 신분증, 사회보장번호, 은행 계좌 등 민감 정보를 요구하며 피해자의 노트북을 원격으로 제어하려 했다. 이 과정에서 AI 기반 자동화 도구와 브라우저 OTP 생성기, 구글 원격 데스크톱, Astrill VPN 등이 활용되며, 악성코드 배포 없이도 신원 탈취와 시스템 장악이 가능함이 드러났다.

전문가들은 원격 채용 방식이 기업 내부로 침투하는 조용하지만 치명적인 경로라고 경고한다. 단순히 한 명의 직원 계정이 탈취되는 것을 넘어, 내부 대시보드와 민감한 비즈니스 데이터, 관리자 권한까지 위협받을 수 있기 때문이다. 기업은 보안 인식을 높이고 직원들이 의심스러운 상황을 즉시 공유할 수 있는 안전한 환경을 마련하는 것이 초기 차단과 심각한 침해를 막기 위한 핵심 조치라고 강조했다.