오라클 해킹 사건 - 2025년, 클라우드와 헬스케어 데이터 해킹사건

 

2025년 초, 오라클은 두 가지 주요 사이버 보안 사건의 중심에 서게 되었습니다. 이 사건들은 클라우드 환경의 신원 관리 시스템과 레거시 헬스케어 데이터 인프라 모두에서 심각한 취약점을 드러냈습니다. 수백만 건의 데이터가 유출되고, 규제 기관이 개입했으며, 여러 건의 집단 소송이 제기되면서, 이 사건들은 현대 디지털 환경에서 데이터 보안의 복잡성과 중요성을 다시 한번 강조하고 있습니다.

1. 오라클 클라우드 신원 관리 시스템 침해

2025년 1월에 발생한 첫 번째 사건은 오라클 클라우드 환경의 '신원 관리 시스템'을 겨냥한 정교한 공격이었습니다.

공격자들은 자바(Java) 취약점을 악용하여 오라클의 아이덴티티 매니저(Identity Manager) 데이터베이스에 악성코드를 심었습니다.

 

이 공격으로 인해 약 6백만 건의 기록이 유출되었으며, 여기에는 140,000개 이상의 고객 테넌트로부터 유출된 사용자 이름, 해시된 비밀번호, SSO(Single Sign-On) 자격 증명, LDAP 비밀번호와 같은 매우 민감한 인증 정보가 포함되었습니다. 특히 JKS 파일, 암호화된 SSO 비밀번호, 키 파일 등 중요한 구성 요소가 침해된 것은 공격자가 시스템 관리 및 보안 통신에 필수적인 '열쇠'를 손에 넣었음을 의미합니다.  

 

"rose87168"이라는 이름의 위협 행위자는 현재 이 도난당한 데이터를 범죄 시장에서 판매하고 있으며, 영향을 받은 테넌트들에게 데이터 삭제를 대가로 금전을 요구하며 적극적으로 수익화하고 있습니다.  

 

오라클은 자사의 핵심 클라우드 플랫폼인 오라클 클라우드 인프라스트럭처(OCI)는 침해되지 않았다고 주장하며, 영향을 받은 시스템이 OCI와는 무관한 "구형 서버"와 관련이 있다고 설명했습니다. 그러나 이러한 구분은 사이버 보안 전문가와 소송 당사자들로부터 면밀한 조사를 받고 있습니다.  

 

2. 오라클 헬스(구 Cerner) 레거시 서버 침해

두 번째 사건은 오라클이 2022년에 인수한 Cerner의 레거시 전자 건강 기록(EHR) 서버에 대한 무단 접근이었습니다.

이 서버들은 아직 오라클 클라우드로 마이그레이션되지 않은 상태였으며, 도난당한 자격 증명을 통해 접근이 이루어졌습니다.

초기 접근은 2025년 1월 22일경에 발생했으며, 오라클 헬스는 2월 20일에 이 사건을 인지했습니다.  

 

이 침해는 유니온 헬스 시스템(Union Health System)을 포함한 수많은 헬스케어 기관에 영향을 미쳤습니다.

유니온 헬스 시스템은 263,000명에게 보호 대상 건강 정보(PHI) 및 개인 식별 정보(PII) 침해 사실을 통보했습니다.

침해된 정보에는 이름, 사회 보장 번호, 운전 면허 번호, 생년월일, 담당 의사, 서비스 날짜, 약물, 보험 정보, 치료 및 진단 정보 등 매우 민감한 환자 데이터가 포함되었습니다.  

 

"Andrew"라는 해커는 도난당한 데이터의 공개를 막기 위해 영향을 받은 헬스케어 고객들에게 수백만 달러의 암호화폐를 요구하며 금전을 갈취하려 시도한 것으로 알려졌습니다. 이 사건은 현재 FBI의 조사를 받고 있습니다.  

 

 

2025년 오라클 보안 사고

 

 

3. 규제 기관의 대응 및 법적 파급 효과

이러한 오라클 보안 사고에 대응하여 미국 사이버보안 및 인프라 보안국(CISA)은 2025년 4월 16일 "레거시 오라클 클라우드 침해와 관련된 자격 증명 위험"에 대한 보안 경보를 발행했습니다. CISA는 사용자 이름, 이메일 주소, 비밀번호, 인증 토큰 및 암호화 키와 같은 자격 증명 자료의 침해가 기업 환경에 중대한 위험을 초래할 수 있다고 강조했습니다.  

 

CISA는 조직에 다음과 같은 완화 조치를 권고했습니다 :  

• 영향을 받은 계정의 비밀번호 재설정
• 하드코딩된 자격 증명을 중앙 집중식 비밀 관리와 같은 보안 인증 방법으로 교체
• 인증 로그의 비정상적인 활동 모니터링
• 피싱 방지 다단계 인증(MFA) 구현

동시에, 오라클 및 오라클 헬스를 상대로 여러 건의 집단 소송이 제기되었습니다. 이 소송들은 오라클이 "민감한 개인 식별 정보를 적절하게 보호, 보관 및 파기하기 위한 합리적이고 업계 표준적인 데이터 보안 관행을 구현하지 못했다"고 주장합니다. 특히 HIPAA 규정 위반에 따른 지연된 침해 통보가 주요 쟁점으로 부각되었습니다. 원고들은 손해배상뿐만 아니라 오라클이 데이터 암호화, 정기적인 침투 테스트, 제3자 보안 감사 등 "긴 보안 조치 목록을 구현"하도록 의무화하는 금지 명령 구제도 요구하고 있습니다.  

 

주요 시사점 및 미래를 위한 교훈

2025년 오라클 관련 침해 사건들은 현대 디지털 환경에서 기업과 개인 모두에게 중요한 교훈을 줍니다.

1. 신원 보안의 중요성: 두 사건 모두에서 인증 자격 증명의 침해는 신원이 사이버 보안의 새로운 경계선이 되고 있음을 보여줍니다. 기업은 신원 및 접근 관리(IAM) 인프라의 보안을 최우선으로 삼아야 합니다.
2. 레거시 시스템의 위험: "구형 서버"와 "아직 마이그레이션되지 않은 레거시 서버"가 주요 표적이 된 것은 대규모 IT 전환 및 인수 과정에서 레거시 시스템을 유지하고 마이그레이션하는데 따르는 내재된 위험을 보여줍니다. 데이터의 전체 수명 주기, 특히 전환 단계에서 부터의 "설계부터 보안" 접근 방식이 필수적입니다. 또한  마이그레이션 프로젝트 전반에 걸쳐 최종 목적지뿐만 아니라 강력한 보안 조치가 보장되어야 합니다.
3. 제3자 공급업체 책임의 증가: 오라클과 같은 주요 기업 소프트웨어 및 클라우드 제공업체의 보안 사고는 제3자 서비스 제공업체의 사이버 보안 실패에 대한 책임이 증가하는 추세를 보여줍니다. 기업은 강력한 공급업체 실사, 명확한 계약 보안 요구 사항, 그리고 제3자 위험에 대한 지속적인 모니터링을 수행해야 합니다.  
    

결론적으로, 오라클 사건은 사이버 보안 침해가 어떻게 기술적 사건에서 부터  법적 책임과 평판 손상으로 신속하게 이어지는지를 명확하게 보여줍니다. 조직은 IT, 법률, 커뮤니케이션 및 경영진 간의 통합된 전략적 감독과 조율된 대응을 통해 총체적인 위험 관리 접근 방식을 채택해야 합니다. 이는 단순히 기술적 방어를 넘어, 복잡하고 상호 연결된 디지털 세계에서 신뢰를 구축하고 유지하는 데 필수적입니다.