오라클의 클라우드 해킹 사건이 커지고 있다. 오라클 클라우드의 서버를 해킹해 600만건의 고객 데이터를 빼냈다는 해커의 등장 후 오라클 고객 데이터 해킹 사건이 2개 더 알려졌다. 오라클은 피해 고객들에게 구두로 알리고 있다. 그리고 두 사고를 미국 연방수사국(FBI)에서 수사 중이다. 그 와중에 오라클은 자사의 해킹 사실을 증명하는 정보를 인터넷 상에서 삭제하려 시도하면서, 외부에 어떤 정보도 알리지 않고 있다.
3일(현지시간) 블룸버그에 따르면, 오라클은 2017년 마지막으로 사용된 레거시 환경을 공격자가 침해해 클라이언트 자격 증명을 훔쳤다는 사실을 일부 고객에게 비공개로 전달했다.
오라클은 민감하지 않은 레거시 데이터를 유출당했다고 고객에 설명한 것으로 알려졌다.
하지만 블리핑컴퓨터는 해당 공격자가 데이터를 자신들과 공유했으며 2025년 최신 해킹 기록을 해킹포럼에 게시했다고 전했다.
블룸버그는 도난당한 데이터가 작년까지도 사용됐던 오라클 로그인 정보도 포함한다고 보도했다.
사이버보안회사 시벨앤젤은 오라클이 고객에게 2025년 1월 회사의 ‘오라클 클래식(OCI Gen1)’ 서버에 접근한 공격자가 2020년 자바 취약점을 사용해 웹 셸과 추가 악성코드를 배포했다고 밝혔다. 2월말 감지된 침해 사건 당시 공격자는 ‘오라클 아이덴티티 매니저(IDM)’ 데이터베이스에서 사용자 이메일, 암호화된 비밀번호, 사용자 이름 등의 데이터를 빼돌렸다.
이는 지난달 한 해커의 오라클 클라우드 해킹 사실 주장 발표 후 며칠 뒤 발생한 일이다.
지난 3월 20일 rose87168이란 닉네임의 해커는 오라클클라우드인프라스트럭처(OCI)의 서버를 공격해 600만 사용자의 싱글사인온(SSO) 및 LDAP 비밀번호를 빼냈다고 주장했다. 그는 훔친 파일 정보를 사용해 암호화된 비밀번호를 해독할 수 있으니 도움을 줄 사람에게 일부 데이터를 공유하겠다고 제안했다. 해당 공격자는 JKS 파일, 암호화된 SSO 비밀번호, 키 파일, 엔터프라이즈 관리자 JPS 키 등을 빼냈으며 침해 영향을 받은 회사와 정부 기관 14만621개의 도메인 목록 등을 공개했다.
오라클은 해커의 주장을 부인했다. 오라클은 ″오라클 클라우드 침해는 발생하지 않았다”며 ″공개된 자격증명은 오라클 클라우드를 위한 것이 아니며, 오라클 클라우드 고객은 침해를 경험하거나 데이터를 잃지 않았다”고 밝혔다.
오라클의 공식 부인 후 거짓 해명이란 주장이 쏟아졌다 블리핑컴퓨터는 rose87168가 해킹 사실을 증명하기 위해 오라클 클라우드 로그인 서버에 ‘login.us2.oraclecloud.com’이란 텍스트 파일을 만들었다고 보도했다. 이 파일은 해커가 오라클 소유의 웹 서버에 마음대로 파일을 생성할 수 있다는 것을 보여준다.
블리핑컴퓨터는 공개된 고객 도메인 목록 속 회사들을 조사한 결과 실제 데이터 침해가 사실로 인정된다고 전했다. 유출된 데이터와 실제 고객의 보유 정보가 일치한다는 것이다.
그러던 중 3월 30일 오라클 헬스의 시스템에 해커가 침입해 오라클클라우드로 이전되지 않은 옛 서너의 의료 데이터를 훔쳤다는 소식이 전해졌다. 오라클은 해당 사실을 고객에게 알리면서 도난한 고객자격증명을 사용해 클라우드 시스템에 침입하고 데이터를 다운로드했으며, 일부에 환자 정보를 포함했을 수 있다고 설명했다.
오라클 헬스 고객에게 전송된 알림에 따르면, 지난 2월 20일경 기존 서너 데이터 마이그레이션 서버에 침해가 발생했으며, 공격자는 손상된 고객자격증명을 사용해 2025년 1월 22일 이후 어느 시점에 서버를 해킹했다. 피해를 입은 한 병원은 ‘앤드류(Andrew)’라는 이름을 사용하는 위협행위자에게 위협을 당하고 있다고 한다. 앤드류는 도난한 데이터를 유출하거나 판매하지 않는 조건으로 수백만달러 상당의 암호화폐를 요구하고 있으며, 병원의 몸값 지불을 압박하기 위해 침해에 대한 클리어넷 웹사이트를 만들었다고 한다.
해당 사건은 FBI가 수사 중인 것으로 알려졌다. 오라클 헬스의 해킹 사건과 rose87168가 연관되는 지 여부는 알려지지 않았다.
그 뒤 오라클이 이후 인터넷 상의 해킹 관련 증거의 삭제를 시도했다는 주장이 제기됐다. 정보보안전문가 케빈 보몬트는 “오라클이 인터넷 웨이백 머신의 보관 제외 프로세스를 사용해 침입 증거를 제거하려 했다”고 주장했다.
3월 20일 rose87168은 해킹을 주장하면서 archive.org URL을 게시하고 블리핑컴퓨터에 제공하면서 오라클 액세스 매니저를 사용하는 ‘login.us2.oraclecloud.com’에 대한 쓰기 권한을 가졌다는 걸 증명했다.
오라클은 이에 Archive.org에 증거를 삭제하라고 요청했고, Archive.org는 이에 응했다. archive.org는 인터넷 웹사이트를 특정 날짜와 시간대별로 저장하고 보존하는 웨이백머신 서비스를 운영중이다. Archive.org는 정보 삭제 요청 제도를 운영한다. ‘Oraclecloud.com’ 웹 서버 중 하나에 쓰기 한 증거는 제거됐지만, 2번째 URL은 제거되지 않았다.
rose87168은 또한 오라클 내부 회의에서 오라클 직원들이 2시간동안 대화한 내용을 담은 화상회의 녹화 파일도 공개했다. 케빈 보몬트는 해당 비디오에 오라클 내부 암호 보관소에 접근하는 모습과 고객 대면시스템에 대한 내용이 들어있다고 설명했다.
그는 “위협행위자는 여전히 온라인에서 활동하고 데이터를 공개하고 있으며, 더 많은 데이터를 공개하겠다고 위협하고 있다”며 “검증을 위해 기자에게 공개된 데이터를 통해 오라클 고객 데이터를 처리하는 시스템에 사이버보안 사고가 발생했다는 사실이 100% 명확하게 드러났다”고 강조했다.
그는 “오라클은 오라클 클라우드와 관련된 표현을 조작하고, 매우 구체적인 단어를 사용해 책임을 회피하려고 시도하고 있다”며 “오라클은 무슨 일이 일어났는지, 고객에게 어떤 영향을 미치는지, 그리고 이에 대해 무엇을 하고 있는지 명확하고 공개적으로 전달해야 하며, 이는 신뢰와 책임의 문제”라고 덧붙였다.
오라클은 애초에 해킹 사실을 부인하면서 ‘오라클 클라우드’에서 해킹 당하지 않았다고 밝혔었다. 그러면서 오라클은 현재 OCI 이전에 만들었던 클라우드 서비스를 ‘오라클 클래식’으로 브랜드를 변경했다. 그렇다면 해킹 사고는 ‘오라클 클래식’에서 벌어진 게 되고, ‘오라클 클라우드’에서 벌어지지 않았다는 해명이 성립된다.
케빈 보몬트는 “오라클이 관리하는 건 여전히 오라클 클라우드 서비스”라며 “그것은 말장난의 일부”라고 비판했다.
오라클은 현재까지 공식적 입장을 내놓지 않고 있다.
글. 바이라인네트워크
<김우용 기자>yong2@byline.network
!["TSMC, 인텔 지분 20% 인수 예비계약" [디지털포스트 모닝픽]](https://www.ilovepc.co.kr/news/photo/202504/53835_146846_554.jpeg)
![키움증권 HTS 또 '먹통' 이용자들 불안 커져… 위험성 높은 정치테마株 요동 [AI 프리즘*신입 직장인 뉴스]](https://newsimg.sedaily.com/2025/04/05/2GREISXFI0_1.jpg)