AI 요약
IBM의 전 위협 인텔리전스 부사장인 윌리엄 바로우(William Barlow)가 회사가 다수의 대규모 국가 지원 데이터 유출 사고를 조직적으로 은폐했다고 폭로하며 소송을 제기했습니다. 2020년에 최초 제기되어 최근 공개된 소송장에 따르면, 중국 정부와 연계된 해킹 조직 'APT 10'은 2013년부터 2016년 사이에 IBM의 핵심 네트워크 및 AT&T와의 합작 파트너십 하에 관리되던 데이터에 침투했습니다. 2017년 3월 미국, 영국 등 5개국 정보 동맹체인 '파이브 아이즈(Five Eyes)'로부터 유출 경고를 받은 후 IBM은 내부 조사에 착수하였고, 해당 기간 동안 약 56,000회 이상의 잠재적 침입과 최소 4대의 핵심 서버가 침해된 사실을 파악했습니다. 그러나 IBM은 네트워크 접근 로그를 유지하지 않는 치명적인 보안 허점을 노출하여 상세 조사를 진행하지 못했음에도, 주요 고객사인 미국 연방정부를 비롯한 사법 당국에 이를 일절 고지하지 않았습니다. IBM 대변인 미키 카버(Miki Carver)는 구체적 혐의에 대한 답변을 피한 채 미 법무부가 해당 소송에 개입하지 않기로 결정했다는 점을 강조하며 IBM이 법을 준수했다고 반박했습니다.
핵심 인사이트
- 전직 임원의 폭로 소송: 2019년 8월까지 IBM 위협 인텔리전스 부사장을 지낸 윌리엄 바로우가 2020년 소송을 제기했으며, 해당 소송장이 최근 법원에 의해 공개되었습니다.
- APT 10의 대규모 해킹: 중국 정부 연계 해킹 그룹인 APT 10이 2013년부터 2016년 사이 IBM의 핵심 시스템에 접근했으며, IBM 내부 조사 결과 잠재적 침입 횟수가 56,000회를 넘는 것으로 파악되었습니다.
- 동맹국의 보안 경고: 2017년 3월, 미국, 영국, 캐나다, 호주, 뉴질랜드로 구성된 '파이브 아이즈' 정보 당국이 IBM에 최초로 해킹 사실을 공식 경고했습니다.
- 기본 보안 로그 부재: IBM은 네트워크에 언제, 누가 접속했는지에 대한 기본적 로그를 기록·보관하지 않아 구체적인 데이터 유출 피해 규모를 끝내 파악하지 못했습니다.
주요 디테일
- 노후화된 인프라의 취약점: 소송장에 따르면 IBM과 AT&T의 공동 네트워크 인프라가 매우 노후화되어, 해커들이 탐지되지 않고 자유롭게 네트워크를 돌아다니며 데이터를 유출할 수 있었습니다.
- 미 연방정부 공급망 위협: IBM은 미국 연방정부의 주요 사이버 보안 벤더임에도 불구하고 해킹 사고 및 자회사 2곳의 추가 유출 사고를 정부 기관에 통지하지 않았습니다.
- 중국 정부 배후 설: 침해를 주도한 APT 10은 2018년 미 FBI 국장 크리스토퍼 레이(Christopher Wray)가 '글로벌 경제의 핵심 리스트'를 타깃으로 삼았다고 비판하며 구성원들을 기소했던 악명 높은 조직입니다.
- IBM의 공식 입장: IBM 대변인 미키 카버는 구체적인 질문을 회피하며 "소송은 6년 전에 제기되었고 미 법무부가 개입하지 않기로 결정한 사안이며, IBM은 법률을 준수했다"고 밝혔습니다.
향후 전망
- 미 정부 계약 신뢰도 타격: 미국 연방정부의 핵심 보안 파트너인 IBM이 국가 지원 해킹 사건을 은폐했다는 사실이 드러남에 따라 향후 정부 계약 유지 및 신뢰도에 치명적인 영향을 미칠 수 있습니다.
- 공공 IT 기업에 대한 보안 규제 강화: 최근 수년간 제정된 데이터 침해 신고 의무화 법안들과 맞물려, 과거 유출 사실을 숨긴 대형 기술 기업들에 대한 당국의 추가 조사와 제재가 뒤따를 가능성이 큽니다.