미국 최대 온라인 대학 중 하나인 피닉스대학교(University of Phoenix)에서 해킹 사고로 개인정보가 유출되며 사이버 보안 공백이 또다시 도마에 올랐다. 이번 침해는 러시아계 해커조직 '클롭(Clop)'이 오라클의 전사적자원관리 솔루션(EBS)의 제로데이 취약점을 악용하면서 발생했으며, 피해자는 총 350만 명에 달한다.

이번 사건은 지난 11월 중순 클롭이 다크웹 유출 사이트에 대학 이름을 공개한 뒤 본격적으로 알려졌다. 하지만 조사 결과, 실제 악성 침입은 이미 8월에 이뤄졌고, 대학이 이를 인지한 시점은 상당히 늦은 것으로 드러났다. 해커들은 오라클 EBS의 미공개 보안 취약점을 통해 네트워크 내부로 침투한 뒤 민감한 개인정보 및 금융 기록으로 접근 범위를 넓힌 것으로 파악됐다.

클롭은 기업용 소프트웨어의 ‘제로데이’ 약점을 공략해 데이터를 빼낸 뒤 암호화 없이 이를 유출하는 방식으로 몸값 협박을 벌이는 사이버 범죄 집단으로, 올해 들어서만 수십여 개 대기업과 공공기관을 공격했다. 이번 피닉스대학교 사건 역시 클롭의 오라클 EBS 악용 전술과 맥이 닿는다. 비교사이트 컴페어리텍의 개인정보 보호 전문가인 폴 비쇼프는 “클롭은 올해 기업용 소프트웨어의 제로데이를 무차별 겨냥 중”이라며 “이번 건도 EBS 시스템에 대한 집요한 침투 시도에서 비롯된 것”이라고 밝혔다.

유출된 정보에는 이름, 연락처, 생년월일, 사회보장번호, 은행 계좌 및 라우팅 번호 등 금융·식별정보가 포함돼 있어 2차 피해 우려가 크다. 피닉스대학교 측은 클롭의 소행임을 공식 지목하진 않았지만, 정황상 이번 침입 배후로 의심받는 데 이견이 없는 상황이다.

대학은 현재 피해자들에게 우편으로 통지서를 발송 중이며, 1년간 무료 신원 보호 서비스, 신용 모니터링, 다크웹 감시 및 최대 100만 달러(약 14억 4,000만 원)의 사기 보상 혜택을 제공하겠다고 밝혔다. 이러한 조치는 피해 완화에 나선 것이지만, 체계적인 보안 강화 없이는 재발 방지에 한계가 있다는 비판도 뒤따른다.

이번 사건은 2025년 들어 발생한 해킹 사고 중 네 번째로 큰 규모로, 랜섬웨어 위험이 단지 시스템 마비에 국한되지 않고 개인정보 유출로 확장되고 있음을 방증한다. 통계에 따르면 올해 피해 규모 기준 세계 4위를 기록했다는 점에서, 교육기관과 기업 모두 서드파티 솔루션에 대한 보안 점검과 사후 대응이 시급하다는 경고가 나온다.

보안 전문가들은 이번 침해가 단순한 해커 공격이 아닌, 기업용 핵심 시스템의 구조적 취약성에 의존한 정교한 침입이었다고 지적하며, 실시간 패치 적용과 레거시 시스템의 분리, 위협 사냥 체계 강화 등 전반적인 방어 전략 재정립이 불가피하다고 강조하고 있다.