11년간 방치된 취약점이 부른 재앙: 오라클 클라우드 대규모 해킹 사건 전말

2025년 3월, IT 업계를 뒤흔든 오라클 클라우드 해킹 사건은 클라우드 서비스의 편리함 뒤에 숨겨진 심각한 보안 위험을 여실히 보여주었습니다. 해커가 11년 동안 업데이트되지 않은 서버의 취약점을 악용해 600만 건의 데이터를 탈취하고 14만 개 이상의 고객사에 피해를 입힌 이 사건은 클라우드 보안의 중요성을 새삼 일깨웠습니다.

The Oracle Breach: Data exposure, denial, and cloud security lessons

오래된 취약점이 불러온 대재앙

오라클 클라우드 해킹의 가장 충격적인 부분은 해커가 2014년 이후 단 한 번도 업데이트되지 않은 서버의 취약점을 악용했다는 사실입니다^4. 해커가 침투한 엔드포인트 'login.us2.oraclecloud.com'은 이미 지원이 종료된 '오라클 퓨전 미들웨어 11G'를 실행하고 있었습니다^2.

CVE-2021-35587로 알려진 취약점은 Oracle Access Manager(OAM)의 OpenSSO 기능과 관련이 있으며, 이 취약점을 통해 인증되지 않은 공격자가 HTTP를 통해 네트워크에 손쉽게 접근할 수 있었습니다^2. 이러한 심각한 보안 허점이 해커 "rose87168"에게 대규모 데이터 탈취의 기회를 제공했습니다^7.

해킹 과정과 오라클의 문제적 대응

해킹 사건은 2025년 3월 21일, "rose87168"이라는 해커가 포럼에서 탈취한 데이터를 판매하기 시작하면서 알려졌습니다^3. 해커는 오라클 클라우드의 SSO(Single Sign-On)와 LDAP(Lightweight Directory Access Protocol) 시스템을 침해했다고 주장했습니다^3.

오라클의 초기 대응은 완전한 부인이었습니다. "샘플 자격 증명은 오라클 클라우드의 것이 아니다"라고 공식 발표했지만^3, 연구자들의 조사 결과 탈취된 데이터 샘플이 1,500개 이상의 고객사 정보와 일치한다는 사실이 확인되었습니다^3.

더욱 충격적인 사실은 오라클 대표자가 프로톤메일(ProtonMail) 계정을 사용하여 해커와 비밀리에 연락했다는 증거가 발견된 것입니다^5. 이는 오라클이 사건을 공개적으로 처리하지 않으려 했다는 의혹을 불러일으켰습니다.

결국 오라클은 2025년 4월 초, 클래스 액션 소송에 직면한 후에야 해킹 사실을 인정하고 일부 고객에게 비밀리에 통지하기 시작했습니다^7. 오라클은 침해된 시스템을 "8년 동안 사용되지 않은 레거시 환경"이라고 주장했지만, 탈취된 데이터에는 2024년까지의 최신 자격 증명도 포함되어 있었습니다^8.

탈취된 데이터와 보안 위험

이번 해킹으로 매우 민감한 인증 정보가 유출되었습니다:

• 암호화된 SSO 패스워드
• 보안 인증서 및 암호화 키 파일
• Java KeyStore(JKS) 파일
• 엔터프라이즈 매니저 JPS 키
• SSO 자격 증명과 연결된 개인 이메일^3^7

이러한 정보가 악용될 경우, 여러 심각한 위험이 발생할 수 있습니다:

• 암호화된 패스워드가 복호화되면 오라클 클라우드 환경에 추가 침해 가능^1
• JKS 및 키 파일 노출로 여러 연결 시스템이 손상될 위험^3
• SAML 어설션 서명용 키 쌍을 해커가 획득했다면, 관리자를 포함한 모든 사용자로 로그인 가능^1
• 토큰 재사용 공격을 통한 불법 접근^1

더욱 우려되는 점은 해커가 여전히 시스템에 접근 권한을 가지고 있을 수 있어 단순한 패스워드 변경만으로는 문제 해결이 불충분할 수 있다는 것입니다^1.

클라우드 보안을 위한 대응 방안

이 사건은 클라우드 보안 강화를 위해 조직이 취해야 할 다음과 같은 조치를 명확히 보여줍니다:

1. 자격 증명 관리 강화
   • 모든 LDAP 사용자 계정의 패스워드와 자격 증명 재설정^1
   • 강력한 패스워드 정책 적용 및 다중 인증(MFA) 구현^1
2. 인증 시스템 업데이트
   • SSO/SAML/OIDC 비밀 키나 인증서 재생성 또는 교체^3
   • 의심스러운 인증 시도를 식별하기 위한 모니터링 강화^3
3. 패치 관리 개선
   • 알려진 취약점을 효율적으로 패치하기 위한 워크플로우 구축^3
   • 레거시 시스템을 정기적으로 점검하고 업데이트
4. 위협 인텔리전스 모니터링
   • 유출된 데이터와 관련된 언급을 추적하기 위한 모니터링^3
   • 다크웹 포럼과 위협 행위자 토론에 대한 지속적인 감시^3

클라우드 보안의 미래

오라클 클라우드 해킹 사건은 클라우드 보안이 공유 책임이라는 원칙을 강화합니다^6. 조직은 클라우드 제공업체가 절대적인 보호를 제공한다고 가정해서는 안 됩니다. 실수, 잘못된 구성, 취약점은 불가피하며, 보안 팀은 이러한 위험에 사전에 준비하고 적절한 보안 조치를 구현해야 합니다^6.

이 사건은 또한 벤더 투명성과 책임성에 관한 더 넓은 질문을 제기합니다. 고객은 기능과 가격뿐만 아니라 보안, 투명성, 신뢰에 대한 약속을 기반으로 클라우드 제공업체를 선택해야 합니다^6.

클라우드 환경에서는 한 번의 보안 실패가 수많은 기업과 개인에게 영향을 미칠 수 있습니다. 따라서 클라우드 보안은 더 이상 선택 사항이 아닌 필수 요소입니다.

여러분의 조직은 클라우드 보안에 충분히 준비되어 있습니까? 이번 오라클 사건을 계기로 현재의 클라우드 보안 전략을 재평가해 보는 것은 어떨까요?

#클라우드보안 #오라클해킹 #데이터유출 #사이버보안 #SSO취약점 #LDAP보안 #클라우드해킹 #정보보안 #보안위협 #사이버위협 #보안사고 #데이터보호 #기업보안 #패치관리 #클라우드전략

---

Catastrophe Caused by an 11-Year-Old Vulnerability: The Full Story of the Oracle Cloud Massive Hack

In March 2025, a major Oracle Cloud hack shook the IT industry, exposing the serious security risks lurking behind the convenience of cloud services. When a hacker exploited a vulnerability in a server that hadn't been updated for 11 years, stealing 6 million records and affecting more than 140,000 client organizations, it served as a stark reminder of the critical importance of cloud security.

Disaster Caused by a Long-Neglected Vulnerability

The most shocking aspect of the Oracle Cloud hack is that the attacker exploited a vulnerability in a server that hadn't been updated once since 2014^4. The endpoint the hacker infiltrated, 'login.us2.oraclecloud.com', was running the already deprecated 'Oracle Fusion Middleware 11G'^2.

The vulnerability, known as CVE-2021-35587, was related to the OpenSSO feature of Oracle Access Manager (OAM) and allowed unauthenticated attackers to access the network via HTTP with ease^2. This serious security flaw provided the hacker "rose87168" with an opportunity for large-scale data theft^7.

The Hack Process and Oracle's Problematic Response

The incident came to light on March 21, 2025, when a hacker using the alias "rose87168" began selling the stolen data on forums^3. The hacker claimed to have compromised Oracle Cloud's Single Sign-On (SSO) and Lightweight Directory Access Protocol (LDAP) systems^3.

Oracle's initial response was complete denial. They officially stated that "the sample credentials are not for the Oracle Cloud"^3, but researchers' investigations confirmed that the stolen data sample matched information from more than 1,500 client organizations^3.

Even more shocking was the discovery of evidence that an Oracle representative had secretly contacted the hacker using a ProtonMail account^5. This raised suspicions that Oracle was trying to avoid handling the incident publicly.

Eventually, in early April 2025, after facing a class action lawsuit, Oracle acknowledged the hack and began quietly notifying some customers^7. Oracle claimed the compromised system was a "legacy environment unused for 8 years," but the stolen data included credentials as recent as 2024^8.

Stolen Data and Security Risks

This hack resulted in the exposure of highly sensitive authentication information:

• Encrypted SSO passwords
• Security certificates and encryption key files
• Java KeyStore (JKS) files
• Enterprise manager JPS keys
• Personal emails associated with SSO credentials^3^7

If misused, this information could lead to several serious risks:

• Additional compromises of Oracle Cloud environments if encrypted passwords are decrypted^1
• Risk of multiple connected systems being compromised due to JKS and key file exposure^3
• Possibility of hackers logging in as any user, including administrators, if they acquired key pairs for signing SAML assertions^1
• Unauthorized access through token replay attacks^1

More concerning is that the hacker might still have access to the system, making a simple password change insufficient to resolve the issue^1.

Response Measures for Cloud Security

This incident clearly demonstrates the measures organizations should take to strengthen cloud security:

1. Strengthen Credential Management
   • Reset passwords and credentials for all LDAP user accounts^1
   • Apply strong password policies and implement multi-factor authentication (MFA)^1
2. Update Authentication Systems
   • Regenerate or replace SSO/SAML/OIDC secrets or certificates^3
   • Enhance monitoring to identify suspicious authentication attempts^3
3. Improve Patch Management
   • Establish workflows for efficiently patching known vulnerabilities^3
   • Regularly check and update legacy systems
4. Threat Intelligence Monitoring
   • Monitor for mentions related to leaked data^3
   • Implement continuous surveillance of dark web forums and threat actor discussions^3

The Future of Cloud Security

The Oracle Cloud hack reinforces the principle that cloud security is a shared responsibility^6. Organizations cannot assume that their cloud provider offers absolute protection. Mistakes, misconfigurations, and vulnerabilities are inevitable, and security teams must proactively prepare for such risks and implement appropriate security measures^6.

This incident also raises broader questions about vendor transparency and accountability. Customers should choose cloud providers based not just on features and pricing, but on their commitment to security, transparency, and trust^6.

In cloud environments, a single security failure can affect countless businesses and individuals. Therefore, cloud security is no longer optional but essential.

Is your organization sufficiently prepared for cloud security? Why not reassess your current cloud security strategy in light of this Oracle incident?

#CloudSecurity #OracleHack #DataBreach #CyberSecurity #SSOVulnerability #LDAPSecurity #CloudHacking #InformationSecurity #SecurityThreats #CyberThreats #SecurityIncidents #DataProtection #CorporateSecurity #PatchManagement #CloudStrategy

⁂

#클라우드보안 #오라클해킹 #데이터유출 #사이버보안 #SSO취약점 #LDAP보안 #클라우드해킹 #정보보안 #보안위협 #사이버위협 #보안사고 #데이터보호 #기업보안 #패치관리 #클라우드전략