이원영 기자
3월 21일 rose87168이라는 해커가 오라클 클라우드 서비스인 오라클 클라우드(Oracle Cloud) 싱글사인온(SSO) 로그인 서버에서 고객 데이터 600만 건을 탈취해 판매했다. 이에 대해 오라클은 처음에 부정 접근이 발생하지 않았다는 성명을 발표했지만 4월 부정 접근 사실을 인정하고 고객에게 이 사실을 보고했다고 전해졌다.
rose87168을 자칭하는 위협 행위자는 3월 21일 해킹 포럼에서 오라클 클라우드 SSO 로그인 서버에서 600만 건에 달하는 SSO 비밀번호와 키스토어 파일, 키 파일 등을 탈취했다고 주장하며 판매했다.
또 rose87168은 오라클 관리 하에 있는 login.us2.oraclecloud.com 상에 자신의 이메일 주소를 포함한 텍스트 파일을 업로드했다고 주장하며 증거로 인터넷 아카이브 URL을 제시했다. 이에 대해 오라클은 오라클 클라우드에서 데이터 유출이 발생하지 않았다며 해당 위협 행위자가 공개한 로그인 자격 증명은 오라클 클라우드 것이 아니며 따라서 오라클 클라우드를 이용하는 고객에게 피해가 미치지 않을 것이라는 성명을 발표했다. 한편으로는 rose87168이 증거로 제시한 인터넷 아카이브 페이지를 삭제하도록 요청했다고 보도됐다.
보도에선 오라클이 오라클 클라우드를 둘러싼 소동에서 말을 교묘하게 써서 책임을 회피하려 하고 있어 이는 허용될 수 없다면서 오라클은 무슨 일이 일어났는지 그게 고객에게 어떤 영향을 미치는지에 대해 명확하고 오픈하게 전달할 필요가 있다고 호소했다.
4월 들어 오라클은 일부 클라이언트에 대해 해커가 컴퓨터 시스템에 침입해 사용자명과 패스키, 암호화된 비밀번호에 접근했다고 통지하며 부정 접근 사실을 인정했다. 관계자에 따르면 오라클은 FBI와 사이버보안 기업 크라우드스트라이크(CrowdStrike)와 공동으로 사건을 조사하고 있다고 한다. 또 오라클에 대해 해커가 데이터 몸값을 요구하고 있다는 것도 전해졌다.
오라클에 따르면 이번 공격자는 레거시 환경이라 불리는 8년간 사용되지 않은 시스템에 침입했다고 한다. 그래서 탈취된 클라이언트 자격 증명이 위험을 초래할 가능성은 거의 없다고 고객에게 통지했다. 하지만 한 관계자는 탈취된 데이터에는 2024년까지의 오라클 고객 로그인 자격 증명이 포함되어 있었다고 말했다.
사이버보안 기업(Trustwave SpiderLabs Threat Intelligence) 관계자는 rose87168이 판매하는 데이터가 오라클에서 탈취된 것임을 인정하며 일련의 데이터는 해커가 대상에게 피싱 이메일을 발송하고 사용자 계정을 탈취하기 위해 사용할 수 있는 풍부한 데이터세트라고 지적했다. 관련 내용은 이곳에서 확인할 수 있다.
이석원 기자
정용환 기자
