Oracle 2026년 4월 Critical Patch Update: 481개 취약점 분석

개요

오라클 2026년 4월 21일 Critical Patch Update(CPU)를 발표하여 전체 제품군에 걸쳐 481개의 보안 패치를 공개했습니다. 이번 업데이트는 241개의 고유 CVE를 해결하며, 그중 34개(7.1%)가 Critical 심각도로 분류되었습니다. 특히 Oracle Communications 제품군이 139개의 패치로 전체의 28.9%를 차지하며 가장 큰 비중을 차지했습니다.

1. 이번 CPU 핵심 요약

1.1 전체 규모

1.2 Third-Party 컴포넌트 취약점

이번 CPU의 주요 특징은 상당 수의 패치가 Oracle이 아닌 제3자 컴포넌트에 대한 취약점입니다. 주로 오픈소스 라이브러리와 서드파티 소프트웨어가 포함되어 있어, Oracle 제품 내에서 악용 가능한 형태로 배포되어 있습니다.

이는 조직이 오픈소스 컴포넌트의 보안 상태를 주기적으로 모니터링하고, SBOM(Software Bill of Materials) 관리를 강화해야 함을 시사합니다.

2. 제품별 영향 범위 분석

2.1 Oracle Communications (139개 패치)

취약점 특성:
- 93개 취약점이 네트워크를 통해 인증 없이 원격 악용 가능
- 여러 Critical 취약점 포함

주요 Critical CVE:

대상 기업: 통신사, ISP, 클라우드 통신 서비스 제공자

2.2 Oracle Financial Services Applications (75개 패치)

취약점 특성:
- 59개 취약점이 인증 없이 원격 악용 가능
- 금융 데이터 유출 위험

주요 Critical CVE:

대상 기업: 은행, 증권사, 보험사, 카드사, 핀테크 기업

2.3 Oracle Fusion Middleware (59개 패치)

취약점 특성:
- 46개 취약점이 인증 없이 원격 악용 가능
- WebLogic, JBoss 등 미들웨어 핵심 취약점

주요 Critical CVE:

대상 기업: 대기업 엔터프라이즈, 공공기관, 금융기관

2.4 Oracle Database Server (8개 패치)

취약점 특성:
- 최대 CVSS 7.5 (High)
- Clusterware, Java VM, OpenSSL 등 핵심 컴포넌트 영향

주요 High/Critical CVE:

특이사항: CVE-2026-31790(OpenSSL)은 높은 권한이 필요하지만, 기밀성·무결성·가용성(CIA Triad) 모두에 영향을 미치는 유일한 취약점입니다.

참고: CVE-2025-6965는 Oracle Database Server의 Spatial and Graph(SQLite) 컴포넌트에 있는 "Security-in-Depth issue"로 표시되며 이 제품에서는 익스플로잇 불가합니다.

대상 기업: 모든 Oracle Database 사용 기업

2.5 기타 주요 제품군

3. CVSS 점수별 우선순위 가이드

3.1 Critical (CVSS 9.0-10.0)

대응 기간: 24시간 이내

대상:
- Oracle Communications: CVE-2025-68615, CVE-2026-25968, CVE-2025-48913, CVE-2025-12543, CVE-2024-5535, CVE-2025-55130, CVE-2025-58050
- Oracle Financial Services: CVE-2023-34034, CVE-2023-44981
- Oracle Fusion Middleware: CVE-2022-45047, CVE-2025-68615, CVE-2026-34285, CVE-2026-34286, CVE-2026-34287, CVE-2021-45046
- Oracle MySQL: CVE-2025-15467
- Oracle E-Business Suite: CVE-2026-34275

조치:
1. 즉시 패치 적용 가능 여부 확인
2. 패치 적용 전 네트워크 격리 또는 방화벽 강화
3. 영향 시스템 식별 및 우선순위 결정
4. 패치 적용 후 보안 점검 수행

3.2 High (CVSS 7.0-8.9)

대응 기간: 72시간 이내

대상:
- Oracle Database: CVE-2026-33870, CVE-2026-35229
- Oracle Database (OpenSSL): CVE-2026-31790
- Oracle MySQL: 복수의 High 취약점
- Oracle Fusion Middleware: WebLogic 등 주요 미들웨어

조치:
1. 영향 시스템 우선순위별 패치 계획 수립
2. 비즈니스 영향 평가 및 유지보수 윈도우 확보
3. 테스트 환경에서 패치 검증 후 프로덕션 적용
4. 임시 완화책(mitigation) 검토

3.3 Medium (CVSS 4.0-6.9)

대응 기간: 2주 이내

대상:
- Oracle Database: CVE-2026-26007, CVE-2026-21999
- 대다수 제품군의 Medium 취약점

조치:
1. 정기 패치 주기에 포함
2. 리스크 평가 후 우선순위 결정
3. 취약점 스캔 및 모니터링 강화

3.4 Low (CVSS 0.1-3.9)

대응 기간: 1개월 이내

조치:
1. 정기 유지보수 일정에 포함
2. 다음 주기적 패치 시 일괄 적용

4. 한국 기업 대응 방안

4.1 금융기관 (은행, 증권, 보험, 카드사)

우선순위 제품군:
1. Oracle Financial Services Applications (75개 패치)
2. Oracle Database Server (핵심 시스템)
3. Oracle Fusion Middleware (WebLogic 등)
4. Oracle E-Business Suite (ERP)

대응 전략:

즉시 조치 (24시간 이내)

1. 영향 시스템 식별
   

   # Oracle Financial Services 제품 버전 확인
   # Oracle Database 버전 및 컴포넌트 확인
   SELECT * FROM v$version;
   SELECT * FROM dba_registry;
   
   # WebLogic 버전 확인
   $MW_HOME/wlserver/server/bin/setWLSEnv.sh
   java weblogic.version
   

2. 네트워크 격리 강화

3. 외부에서의 직접 접속 차단
4. VPN 및 bastion host를 통한 접근 제한

5. 방화벽 규칙 강화 (불필요한 포트 차단)

6. 보안 모니터링 강화

7. IDS/IPS 규칙 업데이트
8. 비정상 트래픽 및 로그인 시도 모니터링
9. SIEM 알람 설정 강화

단기 대응 (1주 이내)

1. 패치 적용 계획 수립
2. 개발/테스트 환경 먼저 패치
3. 비즈니스 영향 평가 (유지보수 윈도우)

4. 롤백 계획 수립

5. 임시 완화책 적용

6. 불필요한 서비스 비활성화
7. Java VM 비활성화 (사용하지 않는 경우)

8. Clusterware 노출 최소화

9. 규정 준수 확인

10. FISMA, PCI-DSS, ISO 27001 등 규정 요구사항 확인
11. 보안 감사 및 보고서 준비

장기 대응 (1개월 이내)

1. 보안 아키텍처 강화
2. Zero Trust 네트워크 아키텍처 도입
3. 세분화된 접근 제어 구현

4. 정기적 보안 점검 프로세스 수립

5. 취약점 관리 프로세스 강화

6. SBOM 도입 및 자산 관리
7. 오픈소스 컴포넌트 모니터링

8. 정기적 취약점 스캔 및 우선순위화관리

9. 보안 교육 및 인식 제고

10. 개발자 보안 교육 (Secure Coding)
11. 운영자 보안 인식 강화
12. 인시던트 대응 훈련

4.2 통신사 (ISP, 모바일 통신사)

우선순위 제품군:
1. Oracle Communications (139개 패치 - 가장 많음)
2. Oracle Database (BSS/OSS 시스템)
3. Oracle Fusion Middleware (통합 플랫폼)

대응 전략:

즉시 조치 (24시간 이내)

1. Oracle Communications 시스템 식별
2. Oracle Communications Billing and Revenue Management (BRM)
3. Oracle Communications Order and Service Management (OSM)
4. Oracle Communications Network Assurance and Management

5. Oracle Communications Unified Inventory Management (UIM)

6. 긴급 패치 적용

7. 인터넷에 노출된 시스템 우선 패치
8. Critical 취약점(CVSS 9.0+) 즉시 대응

9. 패치 적용 전 백업 수행

10. 서비스 가용성 확보

11. HA(High Availability) 구성 확인
12. 부하 분산 및 재해 복구 절차 점검
13. SLA(서비스 수준 계약) 영향 평가

단기 대응 (1주 이내)

1. 네트워크 세그먼테이션 강화
2. 통신 코어 네트워크 격리
3. 관리 네트워크 분리

4. DMZ 구성 검토 및 강화

5. API 보안 강화

6. Oracle Communications API 게이트웨이 보안
7. 불필요한 API 엔드포인트 차단

8. 속도 제한(rate limiting) 적용

9. 모니터링 및 로그 수집

10. 네트워크 트래픽 모니터링 강화
11. 통신 프로토콜(SIP, Diameter, SS7) 이상 징후 탐지
12. 보안 로그 중앙집중화

장기 대응 (1개월 이내)

1. 5G/6G 네트워크 보안
2. 네트워크 슬라이싱 보안 강화
3. edge 컴퓨팅 보안 아키텍처

4. 네트워크 기능 가상화(NFV) 보안

5. 자동화된 패치 관리

6. DevSecOps 파이프라인 통합
7. Blue-Green 배포 전략 도입

8. 카나리 릴리스(canary release) 테스트

9. 보안 인시던트 대응 강화

10. CSIRT(Computer Security Incident Response Team) 구축
11. 자동화된 대응 플레이북
12. 타 통신사 및 정보 공유 협력

4.3 공공기관

우선순위 제품군:
1. Oracle E-Business Suite (18개 패치)
2. Oracle Database (정부 시스템)
3. Oracle Fusion Middleware (통합 포털)
4. Oracle PeopleSoft (인사/급여 시스템)

대응 전략:

즉시 조치 (24시간 이내)

1. 정부 정보시스템 영향 범위 분석
2. 전자정부 시스템(나라장터, 민원24 등)
3. 지자체 통합 시스템

4. 공공기관 ERP 시스템

5. 보안 관련 법규 준수 확인

6. 개인정보보호법 준수 여부
7. 정보통신망법 요구사항

8. KISA 보안 권고사항

9. 긴급 보안 통보

10. 행정안전부 보안 센터 협조
11. 정보시스템 보안 담당자 통보
12. 이용자 안내 대비

단기 대응 (1주 이내)

1. 패치 적용 우선순위 결정
2. 대국민 서비스 시스템 우선
3. 개인정보 처리 시스템 우선

4. 인터넷 노출 시스템 우선

5. 정기 보안 점검 수행

6. 취약점 스캔 실시
7. 보안 정책 점검

8. 접근 권한 재검토

9. 백업 및 복구 절차 확인

10. 데이터 백업 상태 확인
11. 복구 절차 테스트
12. 비상 연락망 점검

장기 대응 (1개월 이내)

1. 정부 클라우드 보안 강화
2. K-GOV 클라우드 보안 가이드라인 준수
3. 클라우드 워크로드 보안

4. 컨테이너 보안

5. 정보보안 거버넌스 강화

6. CISO(최고정보보안책임자) 역할 강화
7. 보안 거버넌스 체계 확립

8. 정기적 보안 교육

9. 공공부문 정보 공유

10. 취약점 정보 공유 플랫폼 활용
11. 법부처 보안 협력체계 구축
12. 보안 사례 공유

5. 기술적 세부사항 및 패치 적용 가이드

5.1 Oracle Database 패치 적용 가이드

5.1.1 패치 지연 사항

중요: 이번 CPU에서 일부 주요 Release Updates(RU)가 지연 발표되었습니다. Oracle은 이를 MOS Note CPU58에 문서화하고 있습니다.

지연된 패치 목록 (2026년 4월 24일 기준):

5.1.2 패치 적용 전 준비

1. 영향 시스템 식별

-- Oracle Database 버전 확인
SELECT banner FROM v$version WHERE banner LIKE "Oracle Database%";

-- 설치된 컴포넌트 확인
SELECT comp_name, version, status FROM dba_registry;

-- Java VM 설치 여부 확인
SELECT comp_name, status FROM dba_registry WHERE comp_name LIKE "%Java%";

-- Clusterware 사용 여부 확인
SELECT name, value FROM v$parameter WHERE name LIKE "cluster%";

2. 백업 수행

# RMAN 백업
rman target /
RMAN> BACKUP DATABASE;
RMAN> BACKUP ARCHIVELOG ALL;
RMAN> BACKUP CURRENT CONTROLFILE;

# 파일 시스템 백업
# $ORACLE_HOME 백업
# Grid Infrastructure 백업

3. 패치 다운로드 및 준비

# Oracle Support에서 패치 다운로드
# Patch Number, Platform에 맞는 패치 선택

# 패치 압축 해제
unzip -q p<patch_number>_<platform>.zip

# OPatch 버전 확인
$ORACLE_HOME/OPatch/opatch version

# OPatch 업데이트 필요 시
# 최신 OPatch 다운로드 및 설치

5.1.3 패치 적용 순서 (표준)

추천 순서: Database RU → OJVM RU → Grid Infrastructure (GI) RU

단계별 절차:

1. Database RU 적용

# 데이터베이스 종료
sqlplus / as sysdba
SQL> SHUTDOWN IMMEDIATE;

# 패치 적용
cd <patch_directory>
$ORACLE_HOME/OPatch/opatch apply

# 데이터베이스 시작
sqlplus / as sysdba
SQL> STARTUP;

# 데이터 딕셔너리 업그레이드 (필요 시)
SQL> @catbundle.sql psu apply

1. OJVM RU 적용

# 데이터베이스 종료
sqlplus / as sysdba
SQL> SHUTDOWN IMMEDIATE;

# 패치 적용
cd <ojvm_patch_directory>
$ORACLE_HOME/OPatch/opatch apply

# 데이터베이스 시작
sqlplus / as sysdba
SQL> STARTUP UPGRADE;

# OJVM 데이터 딕셔너리 업그레이드
SQL> @?/javavm/jlib/sqlj/jaava.sql
SQL> @?/javavm/jlib/sqlj/jaaya.sql

# 데이터베이스 정상 시작
SQL> SHUTDOWN IMMEDIATE;
SQL> STARTUP;

1. Grid Infrastructure RU 적용

# RAC 환경에서는 모든 노드에 적용 필요

# GI 중지
crsctl stop crs

# 패치 적용
cd <gi_patch_directory>
# root 계정으로 실행
./rootcrs.sh -prepatch
$ORACLE_HOME/OPatch/opatch apply
./rootcrs.sh -postpatch

# GI 시작
crsctl start crs

5.1.4 패치 적용 후 검증

-- 패치 적용 확인
SELECT action, action_time, description, bundle_series, comments
FROM dba_registry_history
ORDER BY action_time DESC;

-- 데이터베이스 상태 확인
SELECT status FROM v$instance;

-- 실패한 객체 확인
SELECT owner, object_name, object_type, status
FROM dba_objects
WHERE status = "INVALID";

-- 유효하지 않은 객체 재컴파일
EXEC DBMS_UTILITY.compile_schema(schema => "SYS");

-- 리스너 상태 확인
lsnrctl status

5.2 Oracle WebLogic Server 패치 적용 가이드

5.2.1 패치 식별

# WebLogic 버전 확인
cd $MW_HOME/wlserver/server/bin
. ./setWLSEnv.sh
java weblogic.version

# 설치된 패치 목록 확인
$MW_HOME/OPatch/opatch lsinventory -all

5.2.2 패치 적용 절차

# 1. WebLogic 도메인 중지
cd $DOMAIN_HOME/bin
./stopWebLogic.sh
# 관리 서버 및 관리 서버 중지

# 2. 패치 백업
cp -r $MW_HOME $MW_HOME.backup_$(date +%Y%m%d)

# 3. 패치 적용
cd <patch_directory>
$MW_HOME/OPatch/opatch apply -jdk $JAVA_HOME

# 4. WebLogic 도메인 시작
cd $DOMAIN_HOME/bin
./startWebLogic.sh
# 관리 서버 및 관리 서버 시작

# 5. 패치 적용 확인
$MW_HOME/OPatch/opatch lsinventory

5.2.3 패치 적용 후 테스트

# 웹 애플리케이션 기능 테스트
# 로그 확인
tail -f $DOMAIN_HOME/servers/AdminServer/logs/AdminServer.log

# SSL/TLS 연결 테스트
openssl s_client -connect <host>:<port> -tls1_2

5.3 Oracle MySQL 패치 적용 가이드

5.3.1 패치 식별

-- MySQL 버전 확인
SELECT VERSION();

-- MySQL Enterprise Backup 취약점 확인 (CVE-2025-15467)
SHOW PLUGINS WHERE Name LIKE "backup%";

5.3.2 패치 적용 절차

YUM/APT 사용 시:

# CentOS/RHEL
yum update mysql-server
systemctl restart mysqld

# Ubuntu/Debian
apt-get update
apt-get install mysql-server
systemctl restart mysql

수동 업그레이드 시:

# 1. 데이터베이스 백업
mysqldump --all-databases --single-transaction --quick > backup_$(date +%Y%m%d).sql

# 2. MySQL 서비스 중지
systemctl stop mysqld

# 3. MySQL 업그레이드
# MySQL 설치 패키지 교체 또는 소스 컴파일

# 4. MySQL 서비스 시작
systemctl start mysqld

# 5. MySQL 업그레이드
mysql_upgrade -u root -p

5.4 일반적인 패치 적용 모범 사례

5.4.1 사전 준비 체크리스트

• [ ] 영향 시스템 전체 식별 및 인벤토리 작성
• [ ] 패치 적용 전 전체 백업 완료
• [ ] 테스트 환경에서 패치 검증 완료
• [ ] 롤백 계획 수립 및 테스트
• [ ] 유지보수 윈도우 확보 및 이해관계자 통보
• [ ] 패치 적용 절차 문서화
• [ ] 모니터링 및 알람 설정

5.4.2 패치 적용 중 모니터링

• [ ] 디스크 공간 모니터링 (최소 20% 여유)
• [ ] 시스템 리소스 모니터링 (CPU, 메모리, I/O)
• [ ] 로그 파일 모니터링
• [ ] 서비스 상태 모니터링
• [ ] 네트워크 연결 모니터링

5.4.3 패치 적용 후 검증

• [ ] 서비스 정상 시작 확인
• [ ] 애플리케이션 기능 테스트
• [ ] 성능 모니터링 (패치 전후 비교)
• [ ] 로그 및 이벤트 로그 확인
• [ ] 보안 스캔 재수행
• [ ] 문서화 및 보고

6. 모니터링 및 감시 강화 방안

6.1 보안 모니터링 도구 활용

6.1.1 Oracle Enterprise Manager Cloud Control

-- 취약점 스캔 작업 생성
BEGIN
  DBMS_QOPATCH.GET_PATCHSET;
END;
/

-- 보안 설정 확인
SELECT name, value FROM v$parameter WHERE name LIKE "%audit%";

6.1.2 외부 보안 스캐너

• Nessus: Tenable 플러그인 (April 2026 CPU 관련)
• Qualys: QID 20572, 20571, 20570 등
• OpenVAS: Oracle CPU 스캔 프로필

6.2 로그 및 이벤트 모니터링

6.2.1 Oracle Database 감사

-- 감사 활성화
ALTER SYSTEM SET audit_trail = DB, EXTENDED SCOPE=SPFILE;

-- 주요 활동 감사
AUDIT ALL BY <username> BY ACCESS;
AUDIT ALTER, DROP, GRANT, REVOKE BY <username> BY ACCESS;

-- 감사 로그 조회
SELECT * FROM dba_audit_trail
WHERE timestamp > SYSDATE - 1
ORDER BY timestamp DESC;

6.2.2 WebLogic 액세스 로그

# 액세스 로그 모니터링
tail -f $DOMAIN_HOME/servers/*/logs/access.log

# 비정상 패턴 검색
grep "50[0-9]\|40[0-3]" $DOMAIN_HOME/servers/*/logs/access.log | tail -100

6.3 IDS/IPS 규칙 업데이트

Oracle Communications 관련:
- CVE-2025-68615 탐지 규칙
- 비정상 프로토콜 트래픽 탐지

Oracle WebLogic 관련:
- CVE-2022-45047, CVE-2026-34285 탐지 규칙
- T3/IIOP 프로토콜 악용 탐지

Oracle Database 관련:
- CVE-2026-33870(Clusterware) 탐지 규칙
- SQL 인젝션 패턴 강화

7. 결론 및 권고사항

7.1 핵심 요약

Oracle 2026년 4월 CPU는 전체 제품군에 걸쳐 481개의 보안 패치를 포함하고 있으며, 그중 34개가 Critical 심각도로 분류되었습니다. 특히 Oracle Communications(139개), Financial Services(75개), Fusion Middleware(59개)가 가장 큰 영향을 받았습니다.

중요한 점은 상당 수의 패치가 제3자 컴포넌트에 대한 것으로, 오픈소스 라이브러리의 보안 관리가 Oracle 제품의 보안에 직접적인 영향을 미치는 것을 보여줍니다.

7.2 긴급 대응 권고

즉시 조치 (24시간 이내):
1. Critical 취약점(CVSS 9.0+) 보유 시스템 식별
2. 인터넷에 노출된 시스템 우선 패치 또는 네트워크 격리
3. 보안 모니터링 강화 및 이상 징후 탐지

단기 대응 (1주 이내):
1. High 취약점(CVSS 7.0-8.9) 패치 계획 수립 및 실행
2. 테스트 환경에서 패치 검증 후 프로덕션 적용
3. 임시 완화책 적용 및 보안 정책 강화

장기 대응 (1개월 이내):
1. Medium/Low 취약점 정기 패치 일정에 포함
2. SBOM 도입 및 오픈소스 컴포넌트 모니터링
3. 취약점 관리 프로세스 정착 및 자동화

7.3 한국 기업 특화 권고사항

금융기관:
- Oracle Financial Services Applications 최우선 패치
- 규정 준수(FISMA, PCI-DSS) 확인 및 보고
- 금융 데이터 유출 방지 조치 강화

통신사:
- Oracle Communications 시스템 긴급 패치 (139개)
- 5G/6G 네트워크 보안 아키텍처 강화
- 서비스 가용성 확보 및 SLA 준수

공공기관:
- 대국민 서비스 시스템 우선 패치
- 정보보안 법규 준수 확인
- KISA 및 행정안전부 협조 체계 활용

7.4 패치 적용 시 주의사항

1. 패치 지연 확인: Database RU 19.31, 23.26.2 등 일부 패치가 4월 28일~5월 12일로 지연됨
2. 순서 준수: Database RU → OJVM RU → GI RU 순서 준수
3. 백업 필수: 패치 적용 전 전체 백업 필수
4. 테스트 우선: 반드시 개발/테스트 환경에서 먼저 검증
5. 롤백 계획: 문제 발생 시 즉시 롤백할 수 있는 계획 수립

7.5 추가 참고자료

• Oracle Critical Patch Update Advisory - April 2026
• Oracle April 2026 CPU Risk Matrices
• MOS Note: Critical Patch Update (CPU) Apr 2026 for Oracle Database Products (CPU58)
• MOS: Primary Note for Database Quarterly Release Updates (KB106822)
• Tenable: Oracle April 2026 Critical Patch Update Analysis
• Qualys: Oracle CPU April 2026 Security Update Review

8. 부록: 빠른 참조 테이블

8.1 제품별 취약점 요약

8.2 CVSS 점수별 대응 가이드

8.3 Database 패치 적용 체크리스트

사전 준비:
- [ ] 영향 데이터베이스 버전 확인
- [ ] 설치된 컴포넌트 목록 확인
- [ ] 적절한 패치 식별 및 다운로드
- [ ] 전체 백업 완료
- [ ] OPatch 버전 확인 및 업데이트
- [ ] 테스트 환경 검증 완료
- [ ] 유지보수 윈도우 확보
- [ ] 이해관계자 통보

패치 적용:
- [ ] 데이터베이스 정상 종료
- [ ] Database RU 적용
- [ ] OJVM RU 적용 (필요 시)
- [ ] 데이터 딕셔너리 업그레이드
- [ ] 데이터베이스 시작
- [ ] GI RU 적용 (RAC 환경)

사후 검증:
- [ ] 데이터베이스 상태 확인
- [ ] 패치 적용 확인 (dba_registry_history)
- [ ] 실패한 객체 확인 및 재컴파일
- [ ] 애플리케이션 기능 테스트
- [ ] 성능 모니터링
- [ ] 로그 확인
- [ ] 문서화 완료

본 콘텐츠는 AI 기술로 생성된 분석 리포트를 포함하고 있습니다. 내용 중 사실과 다르거나 보완이 필요한 정보를 발견하시면 댓글을 통해 소중한 의견 부탁드립니다. 여러분의 피드백은 더 정확한 보안 정보 공유에 큰 도움이 됩니다.