오라클, 해킹 '부인' 논란 속 고객에 뒤늦은 통지...비판 쇄도
정보 유출 정황에 말 바꾸기.. 보안 전문가들 '미흡한 대응' 쓴소리
댓글 0
기사입력
: 2025.04.10 10:18
[시큐리티팩트=최석윤 기자] 세계적인 IT 기업 오라클이 최근 발생한 사이버 보안 사고와 관련하여 고객들에게 뒤늦게 서면 통지를 시작했지만, 사건 초기 해킹 사실을 부인하고 소극적인 태도를 보여 거센 비판에 직면하고 있다고 9일(현지시각) 시큐리티위크가 보도했다.
사건의 발단은 지난 3월 20일, 한 해커가 온라인 사이버 범죄 포럼을 통해 오라클 클라우드 서버를 해킹했다고 주장하면서 시작됐다. 이 해커는 암호화되거나 해시 처리된 사용자 계정 정보를 포함하여 14만 개 이상의 사용자(테넌트)와 관련된 수백만 건 기록을 판매하겠다고 공언했다.
오라클, 초기 '완강 부인'… 정보 유출 정황 속 '말 바꾸기'
하지만 오라클은 초기 대응에서 자사의 오라클 클라우드 시스템이 해킹당했다는 주장을 강하게 부인하며, 해킹 자체를 전면 부인하는 듯한 태도를 보였다. 그러나 해커는 훔쳤다고 주장하는 정보의 일부를 온라인에 유출하기 시작했고, 보안 전문가들은 해당 정보가 실제 유출된 것일 가능성이 높다고 평가했다. 심지어 일부 오라클 고객들은 자신들의 데이터가 유출된 정보에 포함되어 있다는 사실을 확인하면서 오라클 주장에 신뢰성이 떨어진다는 지적이 잇따랐다.
점점 더 많은 증거들이 오라클 시스템에 영향을 미치는 데이터 유출을 가리키자, 오라클은 기존 공식 부인과는 달리 일부 시스템이 실제로 침해당했다는 사실을 고객들에게 비공식으로 알리기 시작했다. 다만, 이 과정에서도 오라클은 자사 핵심 클라우드 시스템인 오라클 클라우드 인프라스트럭처(OCI)는 침해되지 않았다고 강조하며 논란을 증폭시켰다.
사건 발생 2주 넘어 고객에 서면 통지
해킹 사건이 처음 알려진 지 2주가 넘은 4월 7일, 오라클은 마침내 고객들에게 서면 알림을 발송하기 시작했다. 이 공식 알림에서도 오라클은 오라클 클라우드 인프라스트럭처(OCI)는 "보안 침해를 경험하지 않았다"고 재차 강조했다.
보안 전문가 맥스 솔론스키(Max Solonski)가 입수한 해당 알림 이메일에서 오라클은 "OCI 고객 환경에 침투한 적이 없다. OCI 고객 데이터를 보거나 도난당한 적이 없다. 어떤 식으로든 OCI 서비스가 중단되거나 손상되지 않았다"라고 명확히 선을 그었다.
하지만 이 알림은 동시에 "해커가 OCI 일부가 아닌 두 개의 구형 서버에서 사용자 이름에 접근하여 이를 게시했다"는 사실을 인정했다. 오라클은 "해커는 두 서버 비밀번호가 암호화되거나 해시 처리되어 있었기 때문에 실제 사용 가능한 비밀번호를 노출시키지는 못했다. 따라서 해커는 고객 환경이나 고객 데이터에 접근할 수 없었다"라고 덧붙였다. 해커가 암호화된 비밀번호를 해독할 수 없다는 점을 강조한 것이다.
보안 전문가들, 오라클 '미흡한 대응' 쓴소리
하지만 보안 전문가인 솔론스키를 비롯한 많은 이들은 이번 사건에 대한 오라클의 대응 방식을 강하게 비판하고 있다. 솔론스키는 해커가 비록 암호화된 비밀번호를 당장 해독할 수 없다고 하더라도, 미래에는 충분히 가능성이 있을 수 있다고 지적했다. 더욱이 해커가 사용자 이름만 확보했다 하더라도, 이는 충분히 개인 정보에 해당하며 고객 데이터로 간주될 수 있다고 강조했다.
이번 사건을 꾸준히 주시해 온 보안 연구원 케빈 보몬트(Kevin Beaumont) 역시 오라클 대응을 "극도로 민감한 데이터를 관리하는 회사에 대해 매우 형편없는 대응"이라고 강하게 비난했다.
보몬트 연구원은 해커가 오라클의 초기 구형 클라우드 서비스에 사용되던 서버(일명 Gen1 서버)를 표적으로 삼았을 가능성이 있다고 추측한다. 이러한 추측은 오라클이 자사 핵심 클라우드 서비스 OCI 침해는 단호히 부인하면서도, 일부 시스템 침해 사실은 인정하는 모순적인 태도를 설명해 줄 수 있다.
해킹 방법, 유출 데이터 시점 등 풀리지 않은 숙제로
현재까지 오라클 시스템 해킹에 사용된 구체적인 방법과 유출된 데이터의 정확한 생성 시점 등 몇 가지 중요한 질문들은 여전히 풀리지 않은 숙제로 남아 있다. 일부 보도에 따르면 오라클 시스템은 오래된 보안 취약점을 이용하여 침해된 것으로 알려졌다. 데이터 생성 시점에 대해서도 오라클은 고객들에게 오래된 데이터라고 설명했지만, 일부 보도에서는 2024년부터의 데이터이며 해커는 2025년부터 해당 데이터에 접근했다고 주장하는 등 진실 공방이 이어지고 있다.
결국 이번 오라클의 사이버 보안 사고 대응은 초기 안일한 부인과 뒤늦은 소극적인 정보 공개로 인해 고객들의 불신을 키우고, 기업의 신뢰도에 심각한 타격을 입혔다는 평가를 받고 있다.
