CISA, 오라클 구형 시스템 침해 사건 이후 긴급 보안 권고 발표
미국 사이버보안 및 인프라 보안국(CISA)은 최근 오라클(Oracle)의 구형 시스템이 해킹된 사건과 관련해, 자격 증명 유출로 인해 조직 전반에 걸쳐 보안 침해 위험이 커졌다고 경고했다. 특히 이 사건으로 유출된 자격 증명이 재사용되거나 시스템 내에 하드코딩되어 있을 경우 장기적인 접근권한 노출로 이어질 수 있어 우려가 커지고 있다.
이번 침해는 오라클의 1세대 클라우드 서버(Oracle Cloud Classic)인 ‘Gen 1 서버’에서 발생했다. 공격자는 2025년 초, 오래된 자바 취약점(CVE-2021-35587)을 악용해 웹 셸과 악성코드를 설치하고 오라클의 사용자 관리 시스템인 IDM(Oracle Identity Manager) 데이터베이스에 접근했다. 이 데이터베이스에는 사용자 이름, 이메일 주소, 암호화된 패스워드, 인증 토큰, 암호키 등의 민감한 정보가 포함되어 있었다.
‘rose87168’이라는 닉네임의 해커는 해당 침해를 자신이 저질렀다고 주장하며, 총 600만 건의 자격 증명 데이터를 브리치포럼에서 판매한다고 게시했다. 유출된 정보에는 LDAP 데이터와 함께 다수의 조직 리스트가 포함되어 있는 것으로 확인됐다.
CISA는 이번 사건을 통해 유출된 자격 증명이 코드, 템플릿, 스크립트 등 시스템 전반에 하드코딩되어 있을 경우 탐지가 어렵고, 장기적인 비인가 접근을 유도할 수 있다고 경고했다.
이에 따라 다음과 같은 보안 조치를 취할 것을 권고했다.
-유출 가능성이 있는 계정의 비밀번호를 즉시 변경하고, 전사적인 자격 증명 점검 실시
-코드와 시스템에 하드코딩된 인증 정보를 보안 인증 방식으로 대체하고, 중앙 비밀 관리 도입
-가능한 모든 시스템에 피싱 방지 기능이 강화된 다중 인증(MFA) 적용
-인증 로그 및 접근 기록을 실시간으로 모니터링해 이상 징후 탐지
오라클은 해당 사고와 관련해 "문제가 된 서버는 2017년 이후 사용되지 않은 구형 시스템"이라며, 현재 오라클 클라우드 인프라스트럭처(OCI)는 침해되지 않았다고 해명했다. 회사 측은 이번 침해가 자사의 클라우드 서비스나 고객 데이터에는 영향을 미치지 않았다고 주장하고 있다.
그러나 보안 전문가들은 오라클이 이번 사건을 지나치게 축소하고 있다는 비판을 제기했다. 사이버 보안 전문가는 오라클이 'Oracle Cloud'와 'Oracle Cloud Classic'을 엄격히 구분해 사용하며 마치 현행 클라우드는 안전하다는 듯한 메시지를 전달하고 있다고 지적했다.
이번 사건과 별도로, 오라클 헬스(구 세르너)에서도 2025년 1월, 이전 시스템에서 진행된 데이터 마이그레이션 과정 중 침해가 발생해 환자 데이터가 유출된 사건이 확인됐다. 공격자는 고객 인증 정보를 이용해 전자 건강기록 시스템에 접근했으며, 미국 내 복수의 병원과 의료기관의 환자 데이터를 외부로 유출한 것으로 알려졌다.
사이버보안 전문가들은 우선 시스템 내에 하드코딩된 인증 정보를 점검하고 즉시 교체해야 한다. 자격 증명을 안전하게 관리할 수 있도록 중앙 비밀 관리 시스템을 도입하고, 모든 시스템에서 다중 인증을 기본적으로 활성화해야 한다. 또한 보안 취약점 패치가 되지 않은 시스템이 공격에 노출되기 쉬우므로, 정기적인 보안 업데이트와 패치 적용이 필수적이다라고 강조했다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
![[K-CTI 2025] 넷위트니스 박지원 부장 “위협 헌팅, 조직의 보안 역량 향상 위한 강력한 도구”](https://www.dailysecu.com/news/photo/202504/165467_193867_4159.jpg)
