오라클은 올해 초 발생한 데이터 유출 사고에 대해 지속적으로 사건의 심각성을 축소하고 있으며, 이번 주 고객에게 보낸 이메일에서도 핵심 플랫폼인 오라클 클라우드 인프라스트럭처(Oracle Cloud Infrastructure, OCI)와는 무관한 해킹이라고 주장하고 있다.
오라클은 올해 초 발생한 데이터 유출 사고와 관련해 최근 고객에게 보낸 이메일에서 “이번 사고는 OCI 또는 고객 클라우드 환경과 연결되지 않은 구형 서버 2대에서 발생한 것”이라고 주장했다. 이메일에서 오라클은 “오라클 클라우드, 즉 OCI는 보안 침해를 당한 사실이 전혀 없다”라며 “OCI 고객 환경은 침해되지 않았고, 고객 데이터는 열람되거나 유출되지 않았으며, OCI 서비스는 중단되거나 손상된 바 없다”라고 전했다.
오라클은 유출된 암호는 모두 암호화 또는 해시 처리된 상태였기 때문에 해커가 이를 통해 고객 환경이나 데이터를 접근하지 못했다고 설명했다.
사고 발생 과정
그러나 이러한 해명에도 불구하고 보안 전문가들 사이에서는 여전히 의문이 제기되고 있다. 특히 오라클이 언급한 ‘구형 서버’가 정확히 어떤 시스템에 속한 것인지, 해커가 실제로 고객 데이터를 취득했는지에 대한 명확한 설명이 부족하다는 지적이 나온다.
이번 침해 사실은 지난 3월, ‘rose87168’이라는 이름을 사용하는 해커가 해킹 포럼에 오라클 클라우드에서 탈취한 것으로 보이는 약 600만 건의 싱글사인온(SSO) 및 LDAP(Lightweight Directory Access Protocol) 인증 정보와 기타 민감 데이터를 공개하면서 처음 알려졌다. 해커는 2월에 오라클 시스템에 침투했으며, 이후 오라클에 데이터 유출을 막는 대가로 돈을 요구했지만 협상에 실패했다고 사이버 보안 매체 블리핑컴퓨터(Bleeping Computer)에 전했다.
보안 기업 트러스트웨이브(Trustwave)는 이 데이터셋에 이름, 이메일 주소, 직함, 부서 번호, 전화번호, 휴대전화 번호, 심지어 자택 연락처 등 개인 식별 정보(PII)가 포함돼 있어, 공격자가 이를 활용해 표적 공격을 감행할 수 있다고 분석했다. 트러스트웨이브는 “이러한 유출은 데이터 침해 책임, 규제 위반에 따른 벌금, 브랜드 신뢰도 하락, 운영 차질, 고객 신뢰 장기 훼손 등으로 이어질 수 있다”라고 경고했다.
오라클은 당시 보도자료를 통해 “유출된 인증 정보는 오라클 클라우드용이 아니며, 오라클 클라우드 고객의 데이터 유출도 없었다”라고 반박했다. 그러나 4월 초에는 입장을 다소 바꿔 해킹 사실을 인정하면서도, 해당 데이터는 2017년까지 사용된 ‘레거시 환경’ 즉 오라클 클래식에서 유출됐다고 설명했다. 이 시점에서 오라클이 고객들에게 연락을 취하기 시작했으며 FBI와 크라우드스트라이크가 이 사건을 조사하고 있다고 언급했다.
이 사건과는 별도로, 오라클의 헬스케어 자회사인 오라클 헬스(Oracle Health)에서도 ‘사이버 보안 사고’로 묘사된 또 다른 데이터 유출 사고가 발생했다.
의혹 제기
지금까지는 오라클의 부인에 큰 문제가 없는 듯 보였지만, 이후 해커가 login.us2.oraclecloud.com에 접속한 증거 데이터를 공개하면서 상황이 달라졌다. 이 주소는 오라클이 운영하는 시스템에 대한 접근을 제어하는 IAM(아이덴티티 및 접근 관리) 시스템인 오라클 액세스 매니저(Oracle Access Manager)의 일부다.
또한 유출된 데이터 중 일부는 2024년 또는 2025년에 유출된 것으로 나타나 오래된 데이터라는 오라클의 주장에 의문이 제기됐다.
결국 핵심은 오라클이 주장하는 것처럼 정말로 OCI가 무사했는지 여부다. 오라클의 일방적인 부인에 모두가 납득하는 것은 아니다. 사이버 보안 연구자 케빈 보몬트는 오라클이 ‘오라클 클라우드’라는 이름 아래 구형 서비스를 따로 분리해 ‘오라클 클래식’이라고 명명하면서, 이를 통해 해킹된 시스템과 OCI를 구분하려는 일종의 ‘말장난’을 하고 있다고 분석했다.
그는 미디엄을 통해 “오라클은 오라클 클래식에 보안 사고가 있었다고 말하지만, 이 역시 오라클이 관리하는 클라우드 서비스의 일부”라며 “단어 선택을 통해 책임 범위를 좁히려는 셈”이라고 설명했다. 보몬트는 또 오라클이 다수 고객에게 조용히 연락을 취해 일부 침해 사실을 인정한 정황도 있다고 주장했다.
결과적으로 이번 사건은 실제로 무엇이 유출됐는지 명확히 밝혀지지 않은 채, 무언가 문제가 있었음은 분명하지만 실체가 모호한 상태로 남아 있다. 오라클은 여전히 OCI는 이번 사고와 무관하다고 주장하고 있지만, 보다 명확하고 일관된 커뮤니케이션이 있었더라면 현재의 혼란을 피할 수 있었을지도 모른다.
보안 침해는 그 자체로도 기업에 큰 타격이지만, 이를 외부 이해관계자에게 제대로 설명하는 일은 또 다른 도전 과제다. 이번 사고가 알려진 지 몇 주가 지났지만, 여전히 많은 의문점이 해소되지 않은 상황이다.
[email protected]
Read More from This Article: 오라클, ‘구형 서버’ 해킹 인정··· “OCI는 안전” 설명에 논란 여전
Source: News