[보안뉴스 김형근 기자] 랜섬웨어 그룹 클롭(Cl0p)이 최근 오라클 전사 자원관리 솔루션 E-비즈니스 스위트(EBS) 고객을 겨냥해 벌인 대규모 해킹 공격 캠페인의 피해자 명단을 자신들의 유출 웹사이트에 공개했다.


[자료: 오라클]

이 공격은 수익 중심의 위협 행위자 집단 FIN11이 수행한 것으로 보이며, 9월 말부터 수십 개 조직 및 기업 경영진에게 협박 이메일이 발송됐다.

FIN11은 클레오, 무브잇, 포르타 등 파일 전송 소프트웨어를 노린 과거 공격 캠페인에서도 Cl0p 랜섬웨어 그룹과 연계해 활동한 바 있다.

글로벌 대기업 포함 29개 업체 명단에 올라
현재 29개 조직이 Cl0p 웹사이트에 공개됐다. 초기엔 하버드대학, 아메리칸 에어라인 자회사 엔보이에어 등이 피해를 인정했으며, 지난주엔 유력 일간지 워싱턴 포스(WP)도 공격을 받았음을 확인했다.

최근 명단에 추가된 주요 조직으로는 PC 주변 기기 제조사 로지텍, 미디어 기업 콕스엔터프라이즈, 광산 업체 팬아메리칸실버코퍼레이션, 산업 자동화 기업 슈나이더 일렉트릭, 에머슨 등이 있다.

기업 침묵과 해커의 데이터 공개
명단 공개에도 불구하고 대다수 기업은 데이터 유출 사실을 공식적으로 인정하지 않고 있다. 이는 내부 조사가 완료될 때까지 정보를 공유하지 않으려는 의도이거나, 과거 Cl0p 공격 사례처럼 주목을 피하기 위해 침묵하는 전략일 수 있다.

해커들은 이미 18개 피해 조직에서 훔쳤다고 주장하는 데이터를 유출했으며, 이중 일부는 수백 기가바이트에서 수 테라바이트에 달한다. 이 유출 파일들은 오라클 환경에서 나온 것으로 분석된다.

이 공격에 사용된 구체적 취약점은 아직 불분명하지만, 원격에서 인증 없이 민감한 데이터에 접근할 수 있는 CVE-2025-61882와 CVE-2025-61884가 유력한 후보로 거론된다.

특히 CVE-2025-61882는 패치 배포 두 달 전부터 제로데이로 악용된 것으로 보인다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>