📌 TL;DR (한줄 요약)
Oracle이 해킹 부인하는 사이, 전문가들은 실제 침해 가능성에 무게를 두고 있어요.
관련 아티클 : ☁️ [2025 최대 해킹 사건?] 오라클 클라우드에서 600만건 정보 유출 논란! 😱💻
"Oracle이 해킹당했다고요…? 근데 본인들은 아니라고 부인 중입니다."
요즘 보안 업계에서 가장 뜨거운 논쟁 중 하나는 Oracle Cloud가 해킹을 당했는지 여부입니다.
3월 말부터 보안 커뮤니티에서는 해커가 Oracle Cloud에서 유출된 데이터 600만 건을 판매 중이라는 소식이 퍼졌고,
여러 보안 기업들이 실제 유출 정황을 분석하고 나섰죠.
그런데 Oracle은 여전히 “그런 일 없었다”고 강하게 부인하고 있어요.
대체 무슨 일이 벌어진 걸까요?
💥 사건의 발단: 해커 "Oracle Cloud에서 600만 건 빼냈다"
3월 21일, 보안 기업 CloudSEK는 "rose87168"이라는 해커가 Oracle Cloud Infrastructure(OCI)에서
훔친 데이터 600만 건을 판매하고 있다는 보고서를 냈습니다.
이 데이터에는 다음과 같은 민감한 정보들이 포함돼 있었죠:
- SSO, LDAP 로그인 정보
- Oracle 고객 테넌트 정보 (즉, 조직별 사용자 계정과 설정, 저장된 데이터 등)
CloudSEK에 따르면, 이 해커는 오래된 취약점인 CVE-2021-35587 (Oracle Fusion Middleware 취약점)을
악용했을 가능성이 높다고 주장했어요.
🧱 Oracle의 반응: “우리는 해킹 안 당했어요”
Oracle은 이 해킹 의혹에 대해 전면 부인하고 있습니다.
“Oracle Cloud는 침해되지 않았습니다. 유출된 자격 증명은 Oracle Cloud와 무관하며,
어떤 고객 데이터도 유출되지 않았습니다.”
— Oracle 대변인 Julia Allyn Fishel
즉, 데이터가 진짜라고 해도 Oracle Cloud와는 상관없는 정보라는 입장입니다.
하지만 정말 그럴까요?
🔎 전문가들: “데이터 보니 진짜 같아요…”
CloudSEK와 또 다른 보안 기업 SOCRadar는 해커가 공유한 1만 줄 분량의 샘플 데이터를 분석했고,
다음과 같은 점들을 발견했습니다:
- 1,500개 이상의 실제 기업 테넌트 관련 정보가 존재
- {tenant}-dev, {tenant}-test 등 실제 환경에서 사용되는 네이밍 패턴
- 암호화된 비밀번호, LDAP 설정, 이메일 등 실제 운영 정보
SOCRadar의 CISO Ensar Seker는 이렇게 말합니다:
“이 정보는 실제 Oracle Cloud 사용자 정보와 매우 유사합니다.
Oracle의 침묵은 오히려 고객에게 더 큰 위험을 줍니다.”
🔐 왜 고객이 위험해질까?
Oracle이 침해 사실을 인정하지 않으면, 실제 위험에 처한 고객들도 비밀번호를 바꾸거나 시스템 점검을 하지 않을 수 있죠.
CloudSEK는 특히 "Oracle Cloud 사용자들은 지금 당장 관리자 계정부터 비밀번호를 바꾸라"고 경고하고 있습니다.
게다가 Oracle이 정황 정보를 공유하지 않으면,
기업들은 침해 여부를 스스로 판단해야 해요.
이건 실질적인 공급망 리스크로 이어질 수 있습니다. 😥
🧩 왜 Oracle은 계속 부인할까?
보안 전문가 Ekrem Celik의 분석은 이렇습니다:
- 기술적 논리: 해킹이 Oracle Cloud '핵심'이 아닌 주변 시스템(예: 로그인 서버)에서 발생했을 수 있어요.
이 경우, 'Cloud는 무사하다'는 입장이 성립될 수도 있죠. - 법적/명예 리스크 관리: 해킹 인정 시, 고객 신뢰 저하 + 규제 위험 + 주가 영향 등 후폭풍이 크다는 걸
Oracle도 잘 알고 있을 거예요.
하지만 그 사이 고객은 공격에 노출된 채 아무것도 못하고 기다리는 상황이 되는 겁니다. 😓
💡 이 사건이 우리에게 주는 교훈
이 사건은 단순한 보안 사고를 넘어서, 공급망 보안(TPRM)과 벤더 투명성의 중요성을 보여주는 대표 사례입니다.
- ✅ 데이터가 진짜인지 아닌지보다 중요한 건, 벤더가 빠르게 대응하고 고객에게 정보를 제공하는 태도예요.
- ✅ 대응이 늦어지면, 기업 전체가 다운스트림 공격(2차 피해)에 노출될 수 있습니다.
- ✅ 정보 공유, IOA 탐지 로직 제공, 비밀번호 교체 가이드 등 실질적인 대응이 필요해요.
✋ 고객은 지금 무엇을 해야 할까?
Oracle 고객이라면 아래 항목을 체크해보세요:
☑️ 관리자 계정부터 비밀번호 즉시 변경
☑️ 최근 로그인 이력 확인 (의심스러운 로그인 시도 있는지)
☑️ LDAP/SSO 연동 설정 점검
☑️ MFA 및 접근 제어 정책 재점검
☑️ Oracle 측 공식 대응이 없는 만큼, 자체 위협 헌팅 강화
🏁 마무리하며
이번 Oracle 해킹 논란은 ‘진짜냐 아니냐’보다 더 중요한 문제를 드러냅니다.
“공급망 내 벤더가 위기를 어떻게 커뮤니케이션하느냐”가 곧 리스크 관리의 핵심이라는 점이죠.
앞으로 클라우드 보안을 점검할 때, 단순한 기술력보다 위기 대응 방식을 함께 고려해야 할 이유가 여기에 있습니다.
Oracle이 향후 어떤 입장을 내놓을지 지켜보며, 고객들도 선제적으로 대응할 수 있는 역량을 갖춰야겠죠! 💪
'CyberSecurity > Security🔐' 카테고리의 다른 글
| 🧨 MFA도 뚫린다고? Evilginx와 AiTM 공격의 실체 (1) | 2025.03.31 |
|---|---|
| 🛡️ 점점 교묘해지는 사이버 공격, '공급망 보안'이 중요한 이유 (2) | 2025.03.31 |
| ☁️ 2024년 클라우드 보안, 고위험 경고 388% 증가! 지금 우리 조직은 안전할까요? (0) | 2025.03.28 |
| 🔐 사이버 보안, 왜 이렇게 돈을 써도 뚫리는 걸까요? (1) | 2025.03.28 |
| 📱 요즘 피싱 문자, 왜 이렇게 정교할까? Lucid라는 신종 피싱 플랫폼의 정체 😨 (2) | 2025.03.28 |