최근 수천 개의 오라클 오라클 넷스위트 스위트커머스(Oracle NetSuite SuiteCommerce) 전자상거래 사이트에서 심각한 보안 취약점이 발견되었다. 이번 문제는 넷스위트 플랫폼 자체의 결함이 아닌, 사용자들이 설정한 커스텀 레코드 타입(Custom Record Types(CRTs))의 접근 제어 설정 오류에서 비롯되었다. 이러한 설정 오류로 인해 민감한 고객 정보가 무단으로 접근될 수 있는 상황이 발생했다.

이번 취약점은 CRTs가 "권한 필요 없음(No Permission Required)" 접근 유형을 사용할 때 발생하는데, 이로 인해 인증되지 않은 사용자도 NetSuite의 API를 통해 민감한 데이터를 열람할 수 있는 가능성이 생겼다. 이러한 상황은 특히 소규모 및 중소기업들에게 큰 위협이 될 수 있다. 이들 기업은 신속하게 이러한 취약점을 발견하고 해결할 자원이 부족할 수 있기 때문이다.

보안업체 앱옴니(AppOmni)는 이 문제를 지적하며, 기업들이 CRTs의 접근 제어를 강화해 무단 접근을 방지해야 한다고 권고했다. 구체적인 대응책으로는 레코드 타입 정의의 접근 유형을 "사용자 정의 레코드 항목 권한 필요" 또는 "권한 목록 사용"으로 변경하고, 필요시 영향을 받는 사이트를 일시적으로 오프라인으로 전환하는 것이 제시되었다. 현재 NetSuite는 이 문제를 해결하기 위한 작업을 진행 중이며, 사용자들에게 보안 설정을 즉시 검토하고 조정할 것을 촉구하고 있다.