전 사이버 임원, 내부 고발자로서 IBM이 여러 데이터 유출을 은폐했다고 비난
출처: TechCrunch
전 IBM 사이버보안 임원이 회사가 지난 10년 동안 외국 정부에 의해 세 차례 해킹당했으며 이를 은폐했다고 주장했습니다.
2020년에 제기됐지만 이번 주에 공개된 소송문서에 따르면, 2019년 8월까지 IBM 위협 정보 부사장이었던 윌리엄 바로우는 IBM이 2013년부터 2016년 사이에 중국 해커가 핵심 네트워크를 침투한 사실을 확인했지만, 이후 이를 은폐하고 공개하지 않았다고 말했습니다. 바로우는 또한 최소 두 개의 IBM 자회사도 침해당했으며, IBM이 그 침해 역시 은폐했다고 주장했습니다.
바로우는 고소장에서 IBM의 핵심 네트워크가 “외국 국가 행위자 및 기타 세력에 의해 일상적으로 해킹당했으며, 데이터가 자주 도난당했고 정부 기관에 전혀 통보되지 않았다”고 주장했습니다.
이러한 침해 사건은 10년 이상 전의 일임에도 불구하고, IBM과 같은 대형 공개 기술 기업조차 사이버 공격 사실을 대중이나 관련 정부 기관에 알리지 않을 수 있다는 점을 보여줍니다. IBM은 미국 연방 정부에 주요 사이버보안 솔루션을 제공하는 업체이기에, 이러한 은폐 의혹은 특히 중요합니다. 최근 몇 년간 이러한 문제를 해결하기 위해 여러 데이터 침해 통지 법이 제정되었습니다.
블룸버그는 먼저 이 소송을보도했습니다.
IBM 대변인 미키 카버는 소송 및 그 근거가 되는 주장에 대해 구체적인 질문에 답변을 거부했습니다. 대신 카버는 TechCrunch에 “이 고소장은 6년 전에 제기됐으며, 미국 법무부는 개입을 거부했습니다. IBM은 우리의 행동이 법률을 충실히 따랐다고 확신합니다.”라고 전했습니다.
특히 바로우는 IBM이 APT 10이라는 중국 정부와 연계된 해킹 그룹이 수행한 해킹 캠페인의 여러 피해자 중 하나였다고 밝혔습니다. 당시 FBI 국장 크리스토퍼 레이는 2018년 APT 10이 전 세계 경제의 “Who’s Who”를 표적으로 삼았다고 밝혔습니다. 해커들은 IBM 네트워크와 AT&T와 협력해 유지하던 데이터를 침투했습니다.
바로우는 2017년 3월, 호주·캐나다·뉴질랜드·미국·영국, 이른바 Five Eyes 동맹의 정보당국이 IBM에 침해 사실을 경고했으며, 이는 내부 조사를 촉발했다고 주장했습니다.
소송에 따르면, 조사 결과 APT 10이 2013년부터 2016년 사이에 IBM 네트워크를 56,000번 이상 침투했을 가능성이 있다고 결론지었습니다. 중요한 점은, IBM이 네트워크에 누가 언제 접근했는지에 대한 로그를 보관하지 않아 추가 조사가 불가능했다고 밝혔다는 점입니다. 이는 기본적인 보안 관행에 해당합니다.
그 후 IBM은 주요 고객 중 하나인 미국 정부를 포함한 어떠한 당국에도 경고하지 않은 것으로 전해졌습니다.
“IBM과 AT&T의 핵심 네트워크 인프라는 구식이라 해커들이 여러 차례 시스템에 접근할 수 있었고, 거의 어디서든 탐지되지 않은 채 활동할 수 있었습니다.”
— 고소장에 인용된 내용으로, IBM 내부 조사가 APT 10 해킹 캠페인에서 4대 서버가 손상됐다고 결론지었다고 설명합니다.
“공격자는 거의 400개의 손상된 계정과 200여 개의 시스템·서버에 접근했으며, 이는 IBM 모든 사업 부문, 18개 국가, 여러 IBM 제품에 걸쳐 있습니다.”
— 고소장에 인용된 IBM 내부 보고서 내용.
바로우를 대리하는 변호사 제이슨 브라운은 TechCrunch에 “우리 로펌은 이 사안을 공격적으로 소송할 준비가 되어 있다”고 말했습니다.
“연방 정부에 사이버보안을 판매하면서 자체 회사 내에 이런 보안 문제가 있다고 주장한다면, 그건 말이 안 됩니다.”
— 브라운 변호사 발언.
바로우에 따르면, 그가 알고 있던 다른 침해 사례로는 IBM이 2013년에 인수한 사이버보안 스타트업 Trusteer가 2018년에 침해됐으며, IBM이 2016년에 인수한 헬스케어 데이터 스타트업 Truven도 인수 이후 여러 차례 침해됐다고 합니다.
두 경우 모두 바로우는 IBM이 침해 사실을 제대로 조사·공개하지 않았다고 비난했습니다.
우리 기사에 포함된 링크를 통해 구매하시면, 소액의 커미션을 받을 수 있습니다. 이는 편집 독립성에 영향을 주지 않습니다.
Lorenzo Franceschi‑Bicchierai는 TechCrunch의 시니어 라이터로, 해킹·사이버보안·감시·프라이버시 분야를 다룹니다.
그와의 연락 또는 확인이 필요하시면 lorenzo@techcrunch.com 으로 이메일을 보내시거나, Signal에서 +1 917 257 1382 로 암호화 메시지를, Keybase/Telegram에서 @lorenzofb 로 연락하십시오.