오라클 클라우드의 고객 데이터 유출 사고가 진위 공방으로 확산되고 있다. 한 해커가 오라클 클라우드의 600만 사용지 인증 데이터를 유출했다는 주장에서 시작된 사건은 오라클의 부인 이후에도 잠잠해지 않고 있다. 오라클 고객들이 공개된 유출 정보가 정확하다는 입장을 전했다.
지난주 rose87168이란 닉네임의 해커는 오라클클라우드인프라스트럭처(OCI)의 서버를 공격해 600만 사용자의 싱글사인온(SSO) 및 LDAP 비밀번호를 빼냈다고 주장했다. 그는 훔친 파일 정보를 사용해 암호화된 비밀번호를 해독할 수 있으니 도움을 줄 사람에게 일부 데이터를 공유하겠다고 제안했다.
해커가 빼냈다고 주장한 데이터는 JKS 파일, 암호화된 SSO 비밀번호, 키 파일, 엔터프라이즈 관리자 JPS 키 등이다.이 해커는 데이터베이스, LDAP 데이터, 침해 영향을 받은 회사와 정부 기관 14만621개의 도메인 목록 등을 공개했다.
오라클은 23일 해커의 주장을 부인했다. 오라클은 ″오라클 클라우드 침해는 발생하지 않았다”며 ″공개된 자격증명은 오라클 클라우드를 위한 것이 아니며, 오라클 클라우드 고객은 침해를 경험하거나 데이터를 잃지 않았다”고 밝혔다.
이에 블리핑컴퓨터는 rose87168가 오라클 클라우드 로그인 서버에 ‘login.us2.oraclecloud.com’이란 텍스트 파일을 만들었다고 보도했다. 이 파일은 해커가 오라클 소유의 웹 서버에 마음대로 파일을 생성할 수 있다는 것을 보여준다.
블리핑컴퓨터는 오라클의 부인 후 해커가 공개한 도메인 목록 속 회사들을 조사한 결과 실제 데이터 침해가 사실로 인정된다고 전했다.
이 매체에 의하면, 익명을 요구한 회사의 대표는 공개된 식별 정보가 모두 정확하다고 인정했다고 한다.
사이버보안회사 CloudSEK는 ‘Archive.org’ URL을 발견했는데, ‘login.us2.oraclecloud.com’ 서버가 지난 2월 17일 기준으로 오라클 퓨전 미들웨어 11g를 실행하고 있었다고 밝혔다.
이 회사는 해커가 오라클 퓨전 미들웨어의 ‘오라클 액세스 매니저(오픈SSO 에이전트)’에서 CVE-2021-35587로 알려진 취약성을 악용한 것으로 추정했다. 이 취약점은 HTTP를 통해 네트워크 접근 가능한 비인증 공격자가 오라클 액세스 매니저를 손상시킬 수 있게 한다. 공격에 성공하면 오라클 액세스 매니저를 해커가 완전히 장악할 수 있다. 즉, 오라클이 자체 소프트웨어의 취약점을 패치하지 않고 있었다는 얘기다. 오라클은 현재 해당 소프트웨어 버전 호스트를 오프라인으로 전환했다.
CloudSEK는 샘플에서 유출된 정보의 양과 구조를 볼 때 조작하기 극히 어려워 침해의 신뢰성이 더욱 강화됐다고 밝혔다.
rose87168은 유출 데이터를 사고 파는 다크웹의 ‘브리치포럼(BreachForums)’을 통해 데이터를 판매하기 시작했다.
이 해커는 아직 암호화된 비밀번호를 해독하지 못하고 있는 듯하다. 그는 자신의 보유 파일을 활용하면 암호를 해독할 수 있기 때문에 해독에 도움을 주는 사람에게 데이터를 공유하겠다고 했다.
만약 해커의 주장이 사실이고, 그가 암호를 해독하면 14만개 이상의 OCI 이용 도메인이 보안 위협에 노출된다. 해독된 인증 데이터가 제3의 악성 행위자에게 판매되면 피해 규모가 기하급수적으로 확산될 수 있다.
오라클은 첫 입장 발표 후 추가적인 정보를 내놓지 않고 있다.
글. 바이라인네트워크
<김우용 기자>yong2@byline.network
