クーパンの個人情報流出容疑者、1年前に退職…「流出、さらに長期間の可能性も」
流出は6月からあったが、容疑者の退職がそれより先
韓国最大のネット通販会社「クーパン」(Coupang)の会員3370万人余りの個人情報流出事態を起こした主要容疑者が、クーパンの認証システム開発者だったことが分かった。現在までクーパンの情報流出は6月から起きたものとされているが、容疑者が昨年12月に退職したことが明らかになり、実際の流出は以前からあった可能性もあるとみられる。
2日、国会科学技術情報放送通信委員会(科放委)のクーパン個人情報流出事故関連の緊急懸案質疑で、クーパンのパク・テジュン代表は情報流出の容疑者と推定される元社員が「認証システムを開発する開発者だった」と明らかにした。前日までは認証業務を担当する社員とされていたが、認証システム構造などをよく知っている開発者自らが情報流出に関わった事実が確認されたということだ。
この日の懸案質疑で、リュ・ジェミョン科学技術情報通信部第2次官は「攻撃者はログインせず、数回非正常に接続し顧客情報を流出させた」とし、「この過程で、クーパンのサーバーに接続する時に利用される認証用トークンを電子署名する暗号キーが使われた」と説明した。
ただし、パク代表は当該社員の退職後にもアクセス権限が維持されていたという疑惑は否定した。パク代表は「(手続きに従って)権限を抹消した」とし、「理由は分からないが、侵害者がキーを持っていた」と答弁した。同社のブレット・マシュー最高情報セキュリティ責任者(CISO)は「顧客が正常にログインすればトークンが支給される」とし、「すべてのクーパンの認証トークンはプライベートキーに署名することで確認される。(攻撃者は)クーパン内部にあるプライベートキーを取得した後、認証して偽トークンを作った」と説明した。退職者のアカウントを削除しないなど、会社側の基礎対応不備が流出事態につながったわけではないと抗弁したのだ。
一方、民官合同調査団が現在まで把握した攻撃期間は6月24日から先月8日までという。 だが、この日の懸案質疑で容疑者が退職した時期が昨年12月であることが明らかになり、個人情報流出はさらに長期間続いた可能性も提起された。この日の懸案質疑で「共に民主党」のイ・ジョンホン議員は「まだ発見できていないだけで、もっと早い時期に流出が行われた可能性があるのではないか」と質問すると、高麗大学情報保護大学院のキム・スンジュ教授は「その可能性もある」と答えた。さらにイ議員が、容疑者が在職中にクレジットカード、決済情報、ログイン情報など顧客の重要情報を侵奪した可能性を尋ねると、キム教授は同じく可能性があるという見解を示した。そもそも、クーパンの情報流出が元社員の脅迫メール発送後に遅ればせながら確認されたという点で、侵害の事実が確認された6月以前にも別の情報が流出した可能性があることを念頭におき、捜査を進める必要があるという意味だ。
政府は課徴金の強化、懲罰的損害賠償、営業停止など、さまざまな制裁手段も多角的に検討している。電子商取引法は通信販売で消費者に財産上の損害が発生した場合、営業停止処分まで下せるよう定めている。国会の懸案質疑でこれに対する質問が出ると、ペ・ギョンフン副首相兼科学技術情報通信部長官は「(関係機関と)積極的に議論する」と答弁した。
訳H.J
