Security

하버드대학, 클롭에 당했나? 오라클 EBS가 문제였나?

문가용 기자

Published: 14:48, 13 Oct 2025 (Updated: 07:52, 15 Oct 2025)

💡

Editor's Pick
- 하버드대학의 정보 확보했다 주장하는 클롭
- 곧 정보 열람 가능한 링크 공개할 것이라고 예고
- 어쩌면 오라클 EBS와 관련된 사건일 수도

악명 높은 해킹 그룹 클롭(Cl0p)이 미국의 하버드대학교를 해킹했다고 주장했다. 그러면서 자신들의 다크웹 사이트에 하버드대학 전용 페이지를 따로 신설했다. 클롭은 조만간 해당 페이지를 통해 자신들이 확보한 정보를 공개할 것이라고 예고한 상황이다.

“페이지는 만들어졌다. 데이터 아카이빙은 진행 중이다. 곧 토렌트 링크를 공개할 것이다.(“PAGE CREATED, DATA ARCHIVING IS IN PROGRESS… A TORRENT LINK WILL BE AVAILABLE SOON … !!!”)”가 이들의 올린 문구다. 그러면서 “이들은 고객들에 대해 신경 쓰지 않는다. 보안을 무시하고 있다!”라고도 썼다.

클롭이 개설한 하브더대학용 협박 페이지[자료: Security Affairs]

하지만 하버드 측에서는 아직 이와 관련하여 별도의 입장문을 발표하지 않고 있다. 하버드 대학 측은 ‘하버드 프라이버시 앤 시큐리티(Havard Privacy and Security)’라는 페이지를 통해 보안 관련 내용을 공지하거나 문의를 받곤 한다. 현재, 기사 작성 시점까지는 잠잠하다. 즉, 현재까지는 공격자 측의 일방적 주장만 있는 상황인 것이다. 그것도 ‘예고’ 한 줄 정도에 그치고 있다.

혹시 오라클 사건?
클롭이 허풍을 떨고 있는 것일 수도 있지만, 그렇지 않다면 하버드대학에서는 무슨 일이 일어난 것일까? 어떻게 하다가 클롭의 공격을 허용하게 된 것일까? 이 시점에서 다시 한 번 주목하게 되는 것은 최근 구글 맨디언트(Google Mandiant)가 발표한 내용이다. 오라클 이비즈니스 스위트(Oracle E-Business Suite, EBS)에 관련된 보안 경고문이었다. 이는 본지가 지난 주 보도하기도 했었다.

💡

여기서 잠깐!
맨디언트의 오라클 관련 보고서는 thetechedge.ai/orcale-ebusiness-suite-under-attack-possibly-by-cl0p/에서 확인이 가능하다.

당시 맨디언트는 “최근 오라클의 EBS를 겨냥한 대규모 제로데이 익스플로잇 공격이 있었다”며 “이 공격으로 수십~수백 개의 조직에서 데이터 탈취가 있었을 수 있다”고 경고했었다. 다만 피해 사실이 전부 확인된 된 건 아니며, 정황 증거만 확보한 상황이었다고 맨디언트는 덧붙였다. 정확한 피해 여부와 규모는 패해자 측에서 내용을 공유해야만 알 수 있다.

오라클의 EBS는 기업용 자원 관리 시스템이다. 회계, 인사, 급여, 공급망, 직원, 구매, 보유 물자 및 제고와 같은 핵심 관리 업무를 처리하는 통합 플랫폼이라고 할 수 있다. 세계 여러 대학과 기업, 정부 기관들이 고루 사용하는 것으로 알려져 있다. 즉 대단히 민감한 정보를 저장 및 처리하면서, 대단히 많은 곳에 분포되어 있는 솔루션이라는 것으로, 여기서 제로데이 취약점이 하나 발견된다면 세계 여러 조직들이 한꺼번에 같은 제로데이 취약점에 노출된다.

EBS가 클라우드 기반 솔루션인 것도 아니고, 그렇기 때문에 하나가 뚫리면 사용자 모두가 한꺼번에 뚫리는 구조는 아니다. 다만 워낙 사용자가 많아 하나의 취약점이 큰 파급력을 갖는 것일 뿐이다. 또한 많은 사용자들이 EBS를 인터넷에 직접 연결해서 쓰는 경우가 많아 공통의 취약점을 원격에서 익스플로잇 하는 것이 가능하다는 것도 EBS 생태계의 특징 중 하나다.

맨디언트가 지적한 EBS의 제로데이 취약점은 CVE-2025-61882이다. 공격자는 인증 단계를 거치지 않고도 원격 코드 실행 공격을 실행할 수 있게 되며, 따라서 해당 취약점은 CVSS 기준 9.8점이라는 높은 점수를 받았다. 오라클은 긴급 패치를 배포했으므로, 사용자들은 해당 패치를 빠르게 적용하는 것이 안전하다.

하버드대학, 제2의 콴타스항공?
클롭이 하버드대학을 콕 짚어 협박을 한 것, 그리고 그 하버드대학이 좀 더 규모가 큰 사건인 오라클 EBS 침해에 연루돼 있을 가능성이 높다는 점은, 얼마 전 발생한 콴타스항공 사건을 떠올리게 한다. 콴타스항공의 경우 지난 여름 스캐터드랩서스헌터스(Scattered Lapsus$ Hunters)라는 해커들에 의해 해킹 당했었다. 하지만 알고 보니 사건 규모가 훨씬 컸다. 콴타스항공만이 아니라 콴타스항공이 이용하던 세일즈포스 자체에서 침해 사고가 발생했던 것이다. 스캐터드랩서스헌터스는 40개 남짓한 세일즈포스 고객사들의 정보를 탈취한 것으로 현재 알려져 있다.

💡

여기서 잠깐!
콴타스항공 사건 혹은 세일즈포스 사건에 대한 현재 상황에 대해서 보다 상세히 알고 싶다면 본지 기사(thetechedge.ai/salesforce-data-leak-qantas-airlines-data-revealed-by-hackers/)를 클릭!

‘콴타스항공 사건’은 현재 ‘세일즈포스 고객사 사건’으로 확장된 상태지만, 여전히 가장 많이 주목을 받는 건 콴타스항공이다. 최근 스캐터드랩서스헌터스는 세일즈포스로부터 돈을 받지 못하게 되자 콴타스항공의 데이터를 일부 공개하기도 했었다. 하버드대학도 사실은 오라클 EBS 침해 사건인 것의 ‘본보기 케이스’가 되어 가장 앞에서 매를 맞을지도 모른다는 예상이 나오는 이유다.

클롭, 어디가 아픈지 잘 안다
클롭의 ‘악명’은 이들이 노리는 표적이 다른 랜섬웨어 그룹과 궤를 달리 하기 때문이다. 클롭은 요 몇 년 사이 기업용 파일 전송 솔루션을 적극 노려왔다. 액셀리온(Accellion), 서브유(Serv-U), 고애니웨어(GoAnywhere), 무브잇(MOVEit) 등에서 제로데이 취약점을 발굴해 익스플로잇 공격을 감행함으로써 사용자 기업들의 데이터를 대량으로 훔쳐냈다. 그리고 그것을 바탕으로 수많은 기업들을 협박했다. 피해 규모는 아직 정확히 집계되지 않고 있지만 아무리 보수적으로 봐도 수백 개 기업은 넘을 것으로 예상된다.

이는 ‘랜섬웨어 공격’의 개념을 탈피한 공격이기도 하다. 전통적으로 랜섬웨어는 사용자 파일을 암호화 해서 사용 불가 상태로 만드는 것을 말한다. 그 파일을 다시 사용하게 해주는 대신 돈을 받는 게 랜섬웨어 공격자들의 사업 모델이었다. 거기에 어느 순간 ‘파일을 훔친다’는 것까지 더해 ‘돈을 주지 않으면 파일을 공개한다’는 협박까지 추가했다. 즉, ‘이중협박’을 하는 게 보다 최신화 된 랜섬웨어 사업 모델로 정착한 것이다.

클롭은 여기서 한 발 더 나아갔다. ‘파일 암호화’를 생략하는 대신 ‘파일 훔치기’를 대폭 강화했다. 기업 하나에 침투해 정보를 빼오는 것이 아니라, 아예 다수 기업들이 사용하고 있는 프로그램을 한꺼번에 노림으로써 한 번 공격에 수많은 기업들에 피해를 주는 전략을 채택했다. 그러면서 위에서 언급된 파일 전송 프로그램들이 첫 번째 표적들이 됐고, 지금은 EBS에 눈길을 두고 있는 상황이다. 클롭은 기업들의 어디가 가장 아픈지를 잘 이해하고 있는 공격자라는 평가가 나오는 이유다.

EBS 패치, 당장 적용해야
이번 하버드사건이 단지 먼 나라 한 대학 기관만의 일이 아닐 수 있는 것은, 기업들 어디가 가장 취약한지 잘 이해하고 있는 클롭이 배후에 있을 수 있기 때문이다. 아직 명확하게 드러난 것은 아니지만, 미리 대비해서 나쁠 건 없다. EBS를 사용하고 있는 조직이라면 반드시 최신 패치를 적용해야 하며, 패치가 어려울 경우 인터넷에 노출되지 않도록 조정하는 작업이 필요하다.

그 외 2025년 7월 10일 이후의 접속 로그나 프로세스 생성 상황을 찾아, 오라클과 맨디언트가 공개한 IoC 목록과 대조하는 것 역시 권장되고 있다. 이 IoC는 여기(https://cloud.google.com/blog/topics/threat-intelligence/oracle-ebusiness-suite-zero-day-exploitation?utm_source=chatgpt.com)서 열람이 가능하다. EBS 계정과 비밀번호를 다시 한 번 점검하는 일도 중요하다.