Oracle 데이터 유출 사건 완벽 정리

11월 20일, 사이버 범죄 조직이 Oracle의 E-Business Suite를 공격하여 약 30개 주요 기업의 데이터를 유출하였습니다.

Oracle 데이터 유출 사건 완벽 정리

주요 내용 요약

  • Cl0p로 알려진 사이버 범죄 조직이 Oracle E-Business Suite의 제로데이 취약점을 악용하여 수십 개 대기업의 핵심 데이터 유출 사고를 일으켰습니다. 이 랜섬웨어 그룹은 Broadcom, Estée Lauder, Mazda, Canon을 포함한 세계 유수의 기업들을 상대로 막대한 금전을 요구하고 있습니다. 
  • 제로데이 취약점은 개발자가 아직 인지하지 못한 소프트웨어·하드웨어·펌웨어의 보안 결함으로, 사이버 범죄자 및 악의적인 공격자에게 손쉽게 노출될 수 있습니다. 
  • 현재까지 100개 이상의 기업이 Cl0p의 Oracle EBS 공격에 영향을 받았습니다. 11월 20일부터 21일까지 24시간 동안 이 그룹은 29개 기업에서 데이터 유출을 성공적으로 일으켰습니다. 피해 기업은 미국부터 일본, 사우디아라비아 등 전 세계에 위치하며, 수백억 달러 이상의 기업 가치가 있는 여러 기업들이 포함되어 있습니다. 

11월 20일(목)부터 21일까지, Cl0p로 알려진 사이버 범죄 조직이 Oracle E-Business Suite의 제로데이 취약점을 악용하여 수십 개 대기업의 핵심 데이터 유출 사고를 일으켰습니다. 이 랜섬웨어 그룹은 Broadcom, Estée Lauder, Mazda, Canon 등 세계적 규모의 기업을 상대로 막대한 금전을 요구하고 있습니다. 언론에 의해 공개된 Cl0p의 이메일에서 사이버 범죄자들은 “정치적 목적이나 사업에 관심이 없다”고 강조했습니다. 이 조직의 유일한 목적은 “요구된 금액을 지불하게 하는 것”이라고 밝혔습니다.

Cl0p 소개

Oracle E-Business Suite 고객에 대한 공격의 배후로 알려진 사이버 범죄 그룹 Cl0p는 2019년부터 활동해왔으며, 그동안 대규모 랜섬웨어 공격을 다수 실행해왔습니다. Cl0p는 정교한 갈취 기술과 고도화된 멀웨어로 악명이 높으며, 지금까지 5억 달러 이상의 금전을 갈취하는 데 성공한 것으로 알려져 있습니다. 

미국 CISA(Cybersecurity and Infrastructure Security Agency, 사이버보안 및 인프라 보안국)에 따르면, Cl0p는 “멀웨어를 자주 변경하고, 범죄성 멀웨어 유포의 글로벌 트렌드를 주도하는 것으로 알려져 있다”고 합니다. 전 세계적으로 “가장 거대한 피싱·스팸 메일 유포 조직 중 하나”로 평가받는 Cl0p는 등장 이후 6년간 8,000개 이상의 기업(미국 내 3,000개 조직 포함)을 대상으로 데이터 유출을 일으켰습니다. 

제로데이 취약점이란 무엇이며 Cl0p는 어떻게 이를 악용했나

제로데이 취약점은 개발자조차 인지하지 못한 소프트웨어·하드웨어·펌웨어의 보안 결함으로, 사이버 범죄자 및 기타 악의적 행위자가 이를 악용할 수 있습니다. 미국 테네시 대학교 혁신기술부의 설명에 따르면

“제로데이 취약점은 즐겨 사용하는 앱이나 운영 체제에 숨어 있는 비밀 출입구와 같다”고 볼 수 있습니다.

‘제로데이’라는 용어는 개발자, 사이버보안 전문가, 기타 이해당사자들이 해당 보안 결함의 존재를 인지한 시간을 의미합니다. 이름 그대로, 제로데이 취약점은 개발자가 결함의 존재 자체를 모르기 때문에 패치나 수리가 진행되지 않고 있습니다. 이러한 사각지대는 해커가 해당 취약점을 악용해 민감한 데이터를 탈취하거나, 멀웨어를 심거나, 기타 악의적 행위를 수행할 수 있게 합니다. 

현재 진행 중인 Oracle E-Business Suite 공격의 경우, Cl0p는 두 개의 알려진 제로데이 취약점을 악용했습니다. 두 취약점 모두 Oracle EBS 12.2.3~12.2.14 버전에 영향을 미칩니다. 

  • CVE-2025-61882: 이 CVE(공통 취약점 및 노출)는 Oracle E-Business Software 내 BI Publisher 연동 기능의 취약점입니다. 영국 NCSC(National Cyber Security Centre, 국가 사이버 보안 센터)에 따르면, 인증되지 않은 해커가 “특정하게 조작된 HTTP 요청을 취약 컴포넌트에 전달하여 전체 시스템을 완전히 침해”할 수 있습니다. 이 취약점으로 인해 Cl0p가 타깃 시스템에 직접 접근할 수 있게 되었습니다. 
  • CVE-2025-21884: 이 취약점은 Oracle Configurator의 런타임 사용자 인터페이스(UI)에 집중되어 있습니다. CISA에 따르면, 이 CVE는 “HTTP를 통한 네트워크 접근이 가능한 인증되지 않은 공격자가 Oracle Configurator를 침해할 수 있도록 한다”고 설명되어 있습니다. 성공적으로 실행될 경우, CVE-2025-21884는 해커에게 중요한 데이터에 무단 접근 권한을 제공합니다. 

Cl0p의 Oracle 취약점 악용 기간

Cl0p의 Oracle E-Business Software를 겨냥한 랜섬웨어 공격은 9월 말부터 시작됐습니다.

지난 두 달간 이들의 공격은 점차 확산되어, 현재 Oracle EBS 관련 공격에만 100개 이상의 조직이 타깃으로 지정된 상태입니다. 이 중 77개 기업의 데이터 세트는 토렌트 파일이나 마그넷 링크 등을 통해 유출된 것으로 나타났습니다. 

랜섬웨어 피해 기업 현황

현재까지 100개 이상의 기업이 Cl0p의 Oracle EBS 공격에 영향을 받은 것으로 추정됩니다. 11월 20~21일 24시간 동안 이 그룹은 추가로 29개 기업의 데이터 유출을 성공적으로 일으켰습니다. 피해 기업은 미국, 일본, 사우디아라비아 등 전 세계에 본사를 두고 있으며, 기업 가치가 수백억 달러에 달하는 주요 기업들이 포함되어 있습니다. 

11월 20일 랜섬웨어 공격으로 피해를 본 것으로 추정되는 기업

  • Oracle
  • Michelin
  • Broadcom
  • The Estée Lauder Companies
  • Humana
  • Fruit of the Loom
  • Abbott Laboratories 
  • Grupo Bimbo
  • A10
  • Envoy
  • Canon
  • Greater Cleveland RTA
  • Frontrol
  • MAS Holdings
  • Trane Technologies
  • Treet Corp
  • University of Phoenix
  • L&L Products
  • Worley
  • Mazda 
  • Fleet Management Limited
  • Alshaya Group
  • Bechtel Corporation
  • WellBiz Brands, Inc.
  • Dooney & Bourke
  • Greenball
  • Sumitomo Chemical
  • Aljomaih Automotive Company (AAC)

사이버 공격 대응·차단 현황

Oracle은 10월 초부터 Cl0p 제로데이 공격과 관련한 취약점에 대해 두 차례 주요 보안 경고를 발송했습니다. 첫 번째 보안 알림은 CVE-2025-61882를 다루었습니다. Oracle은 보안 알림에서 “이 취약점은 인증 없이 원격에서 악용될 수 있으며, 즉 사용자명·비밀번호 없이 네트워크 상에서 공격이 가능하다”고 밝혔습니다. “Oracle은 해당 보안 알림에 제공된 패치 업데이트를 최대한 신속하게 적용할 것을 고객에게 강력히 권고합니다.” 본 업데이트에는 보안 패치 접근 및 설치 방법이 포함된 문서가 첨부되어 있습니다. 

Oracle은 두 번째 보안 알림을 통해 CVE-2025-61884 대응책을 공지했습니다. 이 알림 또한 패치 안내 문서를 포함하며, 심각한 보안 사고나 기타 부정적 결과를 방지하기 위해 반드시 신속히 업데이트를 적용할 것을 재차 강조했습니다. 

기업이 요구에 응하지 않을 경우 Cl0p의 위협

Google 자회사인 사이버보안 기업 Mandiant가 공개한 Cl0p의 이메일에 따르면, 이들이 협박에 활용하는 가장 큰 무기는 Oracle EBS에서 유출된 민감 데이터입니다. 메시지에서 Cl0p는 랜섬웨어 금액을 지급하지 않을 경우, 고객 데이터를 ‘블랙 해커’에 판매하거나, 그룹의 블로그에 공개하거나, 토렌트 트래커 등으로 유출하겠다고 경고하고 있습니다. 

Mandiant는 이 사이버 범죄 조직의 활동 방식과 관련하여 추가 설명을 내놓았습니다. Mandiant는 Cl0p가 과거 진행한 캠페인의 경우 “피해자 데이터를 공개하기 전 수 주간 대기하는 경우가 있었다”고 밝혔습니다. 이는 이번 공격으로 피해를 입은 기업들 역시 실제 데이터가 유출되기까지 일정 시간이 남아 있을 수 있음을 시사합니다.

Z2Data로 공급업체 취약점 가시화

원본 장비 제조사(OEM) 및 기타 기업에게 공급업체 리스크는 언제든 변화할 수 있는 예측 불가 공급망 변수입니다. Oracle 제로데이 취약점 공격 사례에서 알 수 있듯, 공급업체 문제로 인해 기업은 치명적 피해를 입을 수 있으며, 즉각적인 대처가 불가능한 경우도 많습니다. 지난 6주간 Broadcom, Abbott Laboratories, Estée Lauder 등 Fortune 500 기업들은 공급 소프트웨어인 Oracle로 인해 심각한 데이터 유출을 경험했습니다.

공급업체 취약점에 대한 취약성 노출이 상수일 필요는 없습니다. 기업들은 공급망 리스크 관리(SCRM, Supply Chain Risk Management) 플랫폼을 활용하여 공급업체로 인한 잠재 리스크로부터 스스로를 보호할 수 있습니다.

하지만 공급업체 취약점에 대한 노출이 당연시될 필요는 없습니다. 기업은 공급망 리스크 관리(SCRM) 플랫폼을 통해 공급업체 리스크로부터 스스로를 보호할 수 있습니다. SCRM 툴 Z2Data는 10만 개 이상의 글로벌 공급업체에 대한 리스크 평가가 통합된 포괄적 리스크 허브를 제공하고 있습니다. 각 리스크 평가는 12가지 고유 요인을 종합 분석해 특정 공급업체가 제공하는 위협을 다차원적으로 진단합니다. Z2Data가 분석하는 리스크 요인은 다음과 같습니다.

  • 소싱 의존성
  • 관세 영향
  • 무역 규제 준수
  • 지정학적 리스크
  • 제조 운영
  • 재무 건전성
  • 파산 리스크
  • ESG 리스크
  • 사이버 보안
  • 데이터 투명성
  • 원재료
  • 전자 공급망 리스크

Z2Data의 리스크 허브를 활용하면, 조직은 공급망 위기가 비가역적으로 확대되기 전에 사전에 리스크를 식별하고 대응하는 가시성과 인텔리전스를 확보할 수 있습니다. Z2Data 및 공급업체 리스크 분석 역량에 대해 자세히 알아보려면, 제품 전문가와 함께 무료 체험을 신청해보시기 바랍니다.