세 명의 엔지니어가 구글 등 기업의 칩 보안 영업비밀을 훔친 혐의로 기소

Odaily 보도에 따르면, 연방 검찰은 구글 등 기업의 민감한 칩 보안 영업비밀을 훔쳐 이란을 포함한 비인가 지역으로 유출한 혐의로 실리콘밸리 엔지니어 3명을 체포했다고 전했다. 미국 캘리포니아주 북부 지방법원의 연방 대배심은 Samaneh Ghandali, Soroor Ghandali, Mohammadjavad Khosravi를 기소했다.

미국 법무부(DOJ) 성명에 따르면, 구글 재직 당시 Samaneh Ghandali는 구글의 영업비밀을 포함한 수백 개의 파일을 제3자 통신 플랫폼으로 전송한 혐의를 받고 있다. 도난당한 자료는 프로세서 보안 및 암호화 분야의 영업비밀과 관련이 있다. 피고인들은 파일 삭제, 전자 기록 파기, 피해 기업에 허위 선서서 제출 등을 통해 자신들의 행위를 은폐하려 한 혐의로 기소되었다.

기소장에 따르면, 2023년 12월 이란으로 떠나기 전날 밤, Samaneh Ghandali는 다른 회사의 업무용 컴퓨터 화면에 표시된 약 20여 장의 영업비밀 정보 사진을 촬영했다. 이란 체류 기간 동안 그녀와 관련된 기기에서 이 사진들에 접근했으며, Khosravi는 다른 영업비밀 자료에 접근했다. 구글의 내부 보안 시스템은 2023년 8월 의심스러운 활동을 탐지하고 Samaneh Ghandali의 접근 권한을 박탈했다.

세 피고인 모두 공모 및 영업비밀 절도, 그리고 사법 방해 혐의로 기소되었다. 사법 방해죄의 법정 최고형은 20년 징역이다.

Kronos Research 최고투자책임자(CIO) Vincent Liu는 합법적인 접근 권한을 가진 직원이 기존 통제 조치 하에서도 시간이 지남에 따라 고도로 민감한 지식재산권을 은밀히 추출할 수 있다고 말했다. 반도체 및 암호화 기업이 직면한 위험은 일반적으로 "해커가 아닌 신뢰받는 내부자"로부터 비롯된다고 덧붙였다.

Horizontal Systems 전략 책임자 Dan Dadybayo는 엔지니어가 아키텍처, 키 관리 로직 또는 하드웨어 보안 설계를 통제된 환경 밖으로 옮길 수 있을 때 "경계"가 붕괴된다고 말했다.

Hacken 회장 Dyma Budorin은 SOC 2 및 ISO와 같은 인증 프레임워크는 일반적으로 특정 공격자(특히 내부자)에 대한 실제 복원력보다는 규정 준수 성숙도를 측정한다고 말했다. 이러한 인증은 감사 시점에 통제 조치가 존재함을 증명하지만, 민감한 데이터가 도난당할 수 없다는 것을 증명하지는 않는다고 지적했다.