Kant's IT/Issue on IT&Security
Oracle Cloud SSO 침해 논란: CloudSEK의 증거 제시와 대응 쟁점 정리
Kant Jo
2025. 5. 6. 13:00
CloudSEK Disputes Oracle Over Data Breach Denial with New Evidence
CloudSEK Disputes Oracle Over Data Breach Denial with New Evidence
Follow us on Blue Sky, Mastodon Twitter, Facebook and LinkedIn @Hackread
hackread.com
- 사건 개요
- 2025년 3월, 위협 행위자 rose87168이 Oracle Cloud SSO 엔드포인트를 해킹해 약 600만 건의 민감 데이터 탈취 주장
- 침해된 정보에는 SSO 및 LDAP 자격 증명, OAuth2 토큰, JKS 파일, 고객 테넌트 정보 등이 포함됨
- Oracle은 즉각 부인하며 “Oracle Cloud 침해 사실은 없다”고 발표
- CloudSEK의 조사 결과
- 공격 발생일: 2025년 3월 21일로 분석
- 침해 지점: login.us2.oraclecloud.com 도메인으로 운영 중인 SSO 엔드포인트
- 공격자는 이 SSO를 통해 API 인증 요청(OAuth2 기반)을 수행, 실제 서비스 중인 GitHub repository 내에서 확인됨
- CloudSEK는 해당 도메인이 Oracle의 production 환경에 사용된 것이며, 단순한 테스트 또는 가짜 계정이 아님을 입증
- 실질적 고객 데이터 노출 확인
- 샘플로 제시된 고객 도메인 확인 결과 실제 Oracle Cloud 고객임이 검증됨
- 예시: sbgtv.com, nexinfo.com, nucor-jfe.com, rapid4cloud.com, cloudbasesolutions.com
- GitHub 저장소, Oracle 파트너 문서 등에서도 동일한 고객 도메인 확인됨
- 샘플로 제시된 고객 도메인 확인 결과 실제 Oracle Cloud 고객임이 검증됨
- 위협의 영향
- 탈취된 자격 증명 및 키는 다음과 같은 위협을 초래할 수 있음
- SSO 연동 기업들의 SSO 인증 우회 또는 세션 하이재킹
- LDAP 사용자 정보 및 암호 해독 후 내부 시스템 침투
- OAuth2 키 기반으로 장기적인 API 인증 및 서비스 권한 남용
- JKS(Java KeyStore) 파일 탈취 시 TLS/SSL 인증서 위조 및 MITM 공격 가능성
- 탈취된 자격 증명 및 키는 다음과 같은 위협을 초래할 수 있음
- CloudSEK 권고사항
- SSO 및 LDAP 자격 증명 즉시 변경
- MFA(다중 인증) 설정 강화
- login.us2.oraclecloud.com 관련 접속 기록 및 API 로그 분석
- 다크웹 및 유출 데이터 모니터링 수행
- Oracle 보안팀과 협의하여 잠재적 취약점 점검 및 패치
- 보안 전문가들의 반응
- Deepwatch CISO Chad Cragle
- "공격자가 Oracle Cloud 서브도메인에 파일을 업로드한 사실은 침해 정황"
- "Oracle의 전면 부인은 보안 신뢰성에 의문을 제기할 수 있음"
- Fenix24 CISO Heath Renfrow
- "Webroot 경로에 공격자 파일이 존재한 것은 매우 심각한 보안 이슈"
- "연동된 로그인 시스템이나 고객 테넌트에 미치는 영향이 크므로 조치 필요"
- Deepwatch CISO Chad Cragle
- 결론
- Oracle은 ‘공식 침해 부정’ 입장을 고수하고 있으나, CloudSEK는 명확한 기술적 증거를 통해 공격 가능성을 입증 중
- 침해 의심 도메인과 공개된 고객 도메인이 실제 서비스 중이라는 점에서 공격자의 주장 일부 신빙성 확보
- 향후 추가적인 로그 분석, 위협 헌팅, 고객 침해 확인 절차가 필수적이며, Oracle의 투명한 조사 및 해명이 요구됨