Oracle, 최초 부인 후 클라우드 침해 확인 - 해커 주장, 유출된 데이터, 무음 경고로 눈살 찌푸려져

투명성과 클라우드 보안에 대한 심각한 의문을 제기하는 일련의 사건 속에서, 오라클은 자사 클라우드 인프라와 관련된 심각한 데이터 유출 사고를 겪었다는 보도가 나왔습니다. 이는 이전 주장과는 상반되는 주장입니다. 오라클은 이후 피해 고객에게 조용히 경고를 보내기 시작했지만, 공격의 범위와 심각성을 축소하고 있습니다.

이 침해 사건은 rose87168 이라는 가명을 사용하는 해커가 오라클 클라우드에서 민감한 데이터라고 주장하는 데이터를 유출하기 시작하면서 처음 드러났습니다. 이 데이터에는 암호화된 자격 증명, 사용자 이름, 기타 중요 고객 정보가 포함되어 있는 것으로 알려졌습니다. 공격자는 처음에는 오라클에 2천만 달러의 몸값을 요구했지만, 몸값을 받지 못하자 도난당한 데이터를 제로데이 공격과 교환하는 조건으로 판매하거나 거래하기 시작했습니다.

이러한 주장에도 불구하고 오라클의 초기 대응은 단호했습니다. "오라클 클라우드 침해는 발생하지 않았습니다. 공개된 자격 증명은 오라클 클라우드용이 아닙니다. 오라클 클라우드 고객 중 침해를 경험하거나 데이터를 손실한 고객은 없습니다." 그러나 이러한 주장은 이제 보안 전문가와 고객 모두의 독립적인 확인과 증거 증가에 따라 반박되고 있습니다.

해커 증거, 오라클의 부인과 모순

SecurityWeek 에 따르면 해커는 1만 건의 고객 기록 샘플, 오라클 내부 회의를 보여주는 것으로 보이는 영상, 오라클 클라우드 시스템 접근을 보여주는 파일 등 여러 증거를 제공했습니다. 유출된 일부 자격 증명은 2024년의 것으로 알려졌는데, 블룸버그 보도에 따르면 영향을 받은 환경이 8년 이상 사용되지 않았다는 오라클의 주장과는 상반됩니다.

보안 연구원 케빈 보몬트는 오라클이 "Gen 1"과 같은 모호한 용어를 사용하여 진실을 은폐하고 있다고 의심합니다. 그는 오라클 클래식(이 용어에 해당할 가능성이 높음)이 여전히 오라클 클라우드 인프라의 일부라고 지적했습니다. 그는 이러한 의미론적 해석을 통해 오라클이 데이터 출처가 기존 클라우드 시스템이라 하더라도 "오라클 클라우드" 침해를 기술적으로 부인할 수 있다고 주장합니다.

보몬트는 또한 오라클이 고객에게 서면 통지를 보내지 않았다고 밝혔습니다. 대신 경고는 구두로만 전달되었다고 합니다. 이는 회사의 투명성에 대한 우려를 더욱 증폭시켰습니다.

악성 소프트웨어, Java 악용 및 장기 액세스

CyberAngel은 익명의 소식통을 인용하여 이번 침해는 공격자가 오라클 시스템에 악성코드와 웹셸을 설치할 수 있도록 허용하는 2020년 자바 취약점에서 비롯되었다고 주장했습니다. 이 악성코드는 오라클의 ID 관리 데이터베이스를 표적으로 삼았으며, 접근은 빠르면 2025년 1월부터 시작되었을 가능성이 있습니다. 오라클은 몸값 요구가 이루어진 즈음인 2월 말에 이 문제를 인지했다고 합니다.

이 소식통에 따르면, "Gen 1" 클라우드 인프라, 특히 기존 Oracle Classic 환경의 서버만 영향을 받았고, 최신 "Gen 2" 서버는 영향을 받지 않았습니다. 손상된 데이터는 최소 16개월 이상 지난 것으로 보고되었지만, 실제 운영 환경 및 실제 고객 계정과 연결된 것으로 보입니다.

Oracle Health Breach가 여파를 더하다

오라클이 계속해서 제한적인 공개 성명만을 발표함에 따라, 오라클 헬스 시스템과 관련된 별도의 침해 사례도 보고되었습니다. 여러 오라클 시스템에서 고객 및 환자 데이터가 동시에 노출되면서 사이버 보안 전문가와 규제 기관 모두 심각한 우려를 표명했습니다.

오라클의 클라우드 침해 대응 방식, 즉 초기 부인부터 제한적인 고객 지원까지 보안 업계 전반에 걸쳐 비판이 제기되었습니다. FBI와 CrowdStrike의 수사관들이 이 문제를 조사하는 가운데, 많은 사람들은 피해를 입은 조직들이 위험을 평가하고 스스로를 보호하기 위한 필요한 조치를 취할 수 있도록 오라클의 투명성 강화를 촉구하고 있습니다.