IBM이 지난 10년간 외국 정부에 의한 여러 차례의 해킹 공격을 은폐했다는 충격적인 주장이 제기되었습니다. IBM의 전직 위협 인텔리전스 부사장(VP of Threat Intelligence)이었던 윌리엄 발로우(William Barlow)는 2020년에 제기된 소송에서, IBM이 2013년부터 2016년 사이에 중국 해커들에게 핵심 네트워크를 침해당했으며, 두 개의 자회사 또한 해킹당했음에도 이를 공개하지 않고 적극적으로 은폐했다고 주장했습니다. 이 소송은 최근 봉인 해제되어 세간에 알려졌습니다.
발로우의 주장에 따르면, IBM의 핵심 네트워크는 외국 국가 행위자들에게 “일상적으로 해킹당했고” 데이터가 자주 유출되었으나, 정부 기관에는 “결코 통보되지 않았다”고 합니다. 특히 2018년 미국 FBI 국장이 중국 정부와 연계된 해킹 그룹 APT 10이 전 세계 주요 기업들을 표적으로 삼았다고 밝혔을 때, IBM 역시 이들의 공격 대상이었습니다. 발로우는 2017년 3월, 미국을 포함한 파이브 아이즈(Five Eyes) 정보 동맹국들이 IBM에 침해 사실을 경고했고, 내부 조사 결과 APT 10이 2013년부터 2016년까지 IBM 네트워크를 56,000회 이상 침해했을 가능성이 있다는 결론이 나왔다고 밝혔습니다. 더욱이 IBM은 기본적인 보안 관행인 네트워크 접속 로그를 보관하지 않아 추가 조사가 불가능했으며, 이러한 침해 사실을 당국이나 주요 고객인 미국 정부에 알리지 않았다고 소송에서 주장했습니다. IBM은 이에 대해 해당 소송이 6년 전에 제기되었고 미 법무부가 개입하지 않기로 결정했으며, IBM의 조치는 법률을 준수했다고 반박했습니다.
이번 폭로는 대규모 기술 기업조차도 사이버 공격의 영향을 숨길 수 있다는 점을 보여주며, 데이터 침해 통지 의무에 대한 중요성을 다시 한번 강조합니다. 특히 IBM이 미국 연방 정부의 주요 사이버 보안 공급업체라는 점에서, 자사 네트워크의 보안 문제와 그 은폐 의혹은 심각한 신뢰 문제로 이어질 수 있습니다. 최근 몇 년간 데이터 침해 통지 관련 법률이 강화되는 추세임을 감안할 때, 이번 소송의 결과는 기업의 투명성과 책임에 대한 새로운 기준을 제시할 수 있을 것입니다. 이는 기업들이 사이버 보안에 대한 접근 방식을 재고하고, 잠재적인 위협에 대해 더욱 투명하게 대응하도록 압박하는 계기가 될 수 있습니다.