무슨 일이 일어났나
2026년 3월 하순, Oracle이 Identity Manager와 Web Services Manager에서 발견된 치명적 보안 취약점에 대한 긴급(Out-of-band) 보안 업데이트를 배포했습니다. CVE-2026-21992로 등록된 이 취약점은 CVSS 9.8로, 가장 높은 수준인 "Critical" 등급입니다.
The Hacker News, BleepingComputer, Security Affairs 등 주요 보안 매체가 보도했으며, Oracle Security Alert 공식 권고문을 통해 즉시 패치를 권고하고 있습니다.
왜 위험한가
이 취약점이 특히 위험한 이유는 인증 없이 원격에서 서버를 완전히 장악할 수 있다는 점입니다.
| 위험 요소 | 설명 | |-----------|------| | 인증 불필요 | 공격자가 로그인 정보 없이도 공격 가능 | | 원격 코드 실행(RCE) | 네트워크를 통해 서버에서 임의의 코드를 실행 가능 | | 공격 복잡도 낮음 | 특별한 조건 없이 누구나 악용할 수 있는 수준 |
기술적 원인: Identity Manager의 REST WebServices 컴포넌트와 Web Services Manager의 Web Services Security 모듈에서 핵심 기능에 대한 인증 확인이 누락되어 있었습니다. 쉽게 말하면, 건물 출입문에 잠금장치 없이 문만 달아놓은 상태와 같습니다. 누구든 문을 열고 들어가 건물 전체를 통제할 수 있는 것입니다.
Tenable에 따르면, 이전에 유사한 취약점인 CVE-2025-61757이 실제로 악용되어 CISA KEV(Known Exploited Vulnerabilities) 목록에 등록된 바 있습니다. 이번 취약점도 같은 수준의 악용 가능성이 있어 주의가 필요합니다.
영향 범위
| 항목 | 내용 | |------|------| | 영향 제품 1 | Oracle Identity Manager (REST WebServices) | | 영향 제품 2 | Oracle Web Services Manager (Web Services Security) | | 영향 버전 | 12.2.1.4.0, 14.1.2.1.0 | | CVSS 점수 | 9.8 / 10.0 (Critical) | | 공격 벡터 | 네트워크 (원격) | | 활성 악용 여부 | 현재까지 Oracle 공식 확인 없음 |
Oracle은 현재까지 이 취약점의 활성 악용 사례를 공식적으로 언급하지 않았습니다. 하지만 CVSS 9.8이라는 높은 점수와 인증이 불필요하다는 조건을 고려하면, 공개 이후 악용 시도가 빠르게 나타날 가능성이 높습니다.
지금 할 수 있는 대응법
- 즉시 패치 적용: Oracle Security Alert에서 제공하는 긴급 보안 업데이트를 즉시 적용합니다. Identity Manager와 Web Services Manager 모두 패치해야 합니다.
- 영향 버전 확인: 운영 중인 시스템이 12.2.1.4.0 또는 14.1.2.1.0 버전인지 확인합니다.
- 네트워크 접근 제한: 패치 적용 전까지 Identity Manager REST API 엔드포인트에 대한 외부 네트워크 접근을 방화벽이나 WAF(Web Application Firewall)로 제한합니다.
- 로그 모니터링 강화: Identity Manager와 Web Services Manager의 접근 로그를 점검하여 비정상적인 요청 패턴이 있는지 확인합니다.
- 유사 취약점 이력 점검: CVE-2025-61757 패치가 적용되었는지도 함께 확인합니다.
Oracle은 정기 패치(Critical Patch Update) 외에 긴급 보안 업데이트를 별도로 배포한 만큼, 패치를 미루지 않는 것이 가장 중요한 대응입니다.
참고