[디지털데일리 이안나기자] 글로벌 IT 기업 오라클이 최근 발생한 두 건의 데이터 유출 사건에 대한 미온적 대응과 회피로 비판을 받고 있다.

지난달 31일(현지시간) 테크크런치‧블리핑컴퓨터 등 외신에 따르면 오라클은 지난 2월 오라클 헬스케어 자회사인 ‘오라클 헬스’ 서버가 해킹당해 환자 데이터가 유출됐다고 일부 고객들에게 통지했다. 오라클 헬스는 오라클이 2022년 헬스케어 기업 서너(Cerner)를 인수해 설립한 회사다.

블리핑컴퓨터에 따르면 오라클 헬스는 일부 고객들에 “2월20일경 오라클 클라우드로 아직 마이그레이션 되지 않은 오래된 레거시 서버에 있는 서너 데이터에 대한 무단 접근을 포함하는 사이버보안 사건을 인지했다”고 통지했다. 오라클은 1월22일 이후 해커가 고객 자격 증명을 이용해 서버에 침입하고 데이터를 원격 서버로 복사했다고 설명했다. 외신에선 이번 환자 데이터 유출 건으로 해커가 병원들을 상대로 암호화폐를 요구하는 일들이 벌어지고 있다고 전했다.

더 문제가 되는 것은 오라클 대응 방식이다. 블리핑컴퓨터에 따르면 오라클 헬스는 병원과 의료기관 같은 기업고객들에겐 데이터 유출 사실을 통지했지만, 피해 입은 환자들에겐 직접 통지하지 않을 것이며 의료정보보호법 위반 여부 판단과 환자 통지 책임은 각 병원에 있다는 입장이다.

지난달 28일(현지시간) 블룸버그통신은 미국 연방수사국(FBI)이 환자 데이터 도난으로 이어진 오라클 대상 사이버공격에 대해 조사하고 있다고 보도했다.

동시에 오라클은 또다른 데이터 유출 사건에도 연루됐다. 오라클 클라우드 고객 인증 데이터를 판매한다는 글이 해커 사이트에 올라온 것. 해커는 자신의 ID가 담긴 파일을 오라클 서버에 올려 침해 증거를 제시했다.

그러나 오라클은 “오라클 클라우드엔 침해가 없었다”며 “공개된 자격 증명은 오라클 클라우드와 무관하며 어떤 고객도 데이터 손실을 겪지 않았다”고 사건을 부인했다. 이에 사이버보안 전문가 케빈 보몬트는 블로그 게시물에서 “오라클은 책임을 회피하려 한다”고 비판했다.

한편 현재까지 국내 기업들엔 이번 사건으로 인한 영향이 없는 것으로 파악된다.