hankyoreh

11月30日午後、ソウル中区のクーパン車庫に車が駐車されている＝チェ・ヒョンス記者//ハンギョレ新聞社

　韓国のＥコマース大手「クーパン」（Coupang）の顧客3370万人の名前や電話番号、住所など個人情報を流出させた疑いが持たれている元ク―パン社員は、在職当時イントラネット（内部ネットワーク）の認証関連業務を担当していたことが分かった。クーパンはこの元社員が退職した後も認証手続きのセキュリティを更新せず、事実上放置し、類例のない規模の個人情報流出事故を招いたものとみられる。警察はクーパン側が提出したサーバーログ記録（使用記録）と犯行に使われたと推定されるIPアドレスを追跡している。

　国会科学技術情報放送通信委員会（科放委）のチェ・ミンヒ委員長（共に民主党）は1日、クーパンから提出された資料をもとに、今回の事件の原因について「認証関連担当者に発給される署名されたアクセストークン（データアクセスキー）の有効認証キーが長期間放置され、担当職員が退職した後にもこれを悪用したためと分析される」と述べた。今回の個人情報流出事態を起こしたのはクーパンの認証業務を担当していた元社員で、この社員が退職した後も会社がシステムへのアクセス権限の回収または保安手段の更新を行わなかったため、関連資料が流出したということだ。チェ議員室によると、クーパンはトークン認証キーの有効期間に関する質問に「5〜10年に設定する事例が多いと聞いている」と答えた。今回の事態が「予見された人災」だと指摘されているのも、このような理由からだ。

　今回の事件規模が明らかになる前に、個人情報流出を暗示する脅迫電子メール（Eメール）がクーパンのユーザーとカスタマーサポートに届いていたという事実も警察捜査過程で確認された。警察関係者は「犯行に使われたIPアドレスを確認し国際協力を通じて追跡している」と述べた。警察は今回の事態によるボイスフィッシングやスミッシングなどの二次被害はまだ把握されていないと明らかにした。

　大統領室は制度の補完を指示した。カン・フンシク大統領秘書室長はこの日、首席・補佐官会議を開き「懲罰的損害賠償制度が事実上作動していない現実は、大規模な流出事故を防ぐのに限界がある」とし、企業の責任が明白な場合、制度が実効性を持って機能するよう改善案を検討するよう指示した。大統領室のチョン・ウンス副報道官が伝えた。カン室長はまた「人工知能（AI）転換でデータが企業の競争力の中核になった時代に、表向きには最も厳格な保護措置を掲げながらも、実際の管理システムは裏口が開いている状態」だとし、関連部署に根本的な制度補完、現場点検体系の再整備、企業のセキュリティ能力強化に向けた支援策などを迅速に報告するよう指示した。