3370万人のクーパン加入者の名前、メールアドレス、住所などの個人情報を流出させた元社員は1年前に退社していたことが明らかになった。この元社員が5カ月間にわたり偽の鍵を使ってシステムにアクセスし徐々に情報を持ち出す間にもクーパンはこれに全く気付くことができなかった。 2日に開かれた韓国国会科学技術情報放送通信委員会のクーパン情報流出緊急懸案質疑では、6月から顧客3370万人の個人情報を持ち出した中国国籍のクーパン元社員が昨年12月にすでに退社していたことが確認された。退社前に盗んだパスワード(署名キー)を活用して偽のトークンを繰り返し生成してクーパンのシステムにアクセスする方式で顧客情報に接近した。国会では「キム・ボムソク議長を逮捕しなければならない」(金宇栄「共に民主党」議員)という強硬な声も出てきた。 この日の科学技術情報放送通信委員会ではクーパンのずさんな退職者管理に対する叱責があふれた。情報を流出させた元社員について、クーパンのパク・デジュン代表は「認証システムを開発する開発者だ。昨年12月に退社した」と話した。退職者がクーパンのシステムに長期間アクセスした過程についてクーパンのブラット・マティス最高情報セキュリティ責任者(CISO)は、「クーパンの認証トークンは個人的な署名キーが必要だ。元社員は会社を去る前にクーパン内部の署名キーを奪取したものとみられる。これを活用して偽トークンを作ったもの」と説明した。盗んだパスワード(署名キー)を活用して現在も勤務する別の社員であるかのように出入証(トークン)を作ってシステムにログインしたという意味だ。 5カ月間これを感知できなかったことに対しマティスCISOは「別のソースから別のIPアドレスを複数使ったものとみられる。管制システム臨界値の下で記録されたためわからなかった」と話した。出入証をいくつか作って少しずつ情報を持っていく手法を使ってクーパンの監視網を避けたという話だ。 マティスCISOと質疑を終えた改革新党の李俊錫(イ・ジュンソク)議員は自身のフェイスブックに「クーパンの署名キーが奪われたとはいえ、(元社員が)数千万件のユーザーアカウントにアクセスするためには各ユーザーのメールアドレスをすべて知っていなければならない。数千万規模の個人情報流出につながったのはクーパンの誤ったユーザー・認証システム設計のため」と指摘した。顧客識別値を暗号化された乱数で設定せず偽キーを持っているハッカーが数字を順番に代入すればすべてのユーザーの電子メールアカウントにアクセスできたということだ。 クーパンのキム・ボムソク理事会議長の責任論はさらに強まった。キム議長の直接謝罪と対策作りを要求する議員の質疑にパク代表は「現在韓国法人の代表としてこの事件に関しすべての責任を負っている」として線を引いた。その上で「事故発生後に理事会を通じて関連内容を(キム議長に)報告した。海外でグローバルビジネスを担当しており居場所はわからない」と付け加えた。これに対し「国民の力」のイ・サンヒ議員は「事態がこの程度まで深刻なのにオーナーの居場所も把握できていないというのが話になるか」と叱咤した。「国民の力」の金張謙(キム・ジャンギョム)議員は、中国ネット通販のタオバオでクーパンのアカウントが5000~4万ウォンで販売されているとして情報流出の可能性を質問したが、マティスCISOは関連性を否定した。 この日の懸案質疑ではクーパンに最大1兆ウォン台の課徴金が命じられる可能性が提起された。個人情報保護法によると、個人情報の盗難・流出時には全売り上げの最大3%を課徴金として科すことができる。昨年のクーパンの売り上げは41兆2901億ウォンで、課徴金は最大1兆2300億ウォンに達する。個人情報保護委員会のイ・ジョンリョル副委員長は「売り上げ規模確定だけでなく違反行為の重大さを委員会で判断して総合的に決める」と話した。金融監督院はこの日、クーパンの個人情報大規模流出と関連し子会社であるクーパンペイに対する現場調査に入ると明らかにした。金融監督院は決済情報流出の有無を確認し、情報管理実態もチェックする計画だ。