PCゲームサイトのハッキングで顧客と加盟社、役員・従業員の個人情報が流出したネットマーブルが、侵害事故を把握しながらも当局への通報をほぼ3日間行っていなかったことが判明した。
イ・ジョンホン共に民主黨議員室が27日に韓国インターネット振興院(KISA)から提出を受けた資料によると、ネットマーブルが初めてハッキング被害を申告した時刻は25日午後8時40分だった。ネットマーブルは26日に見解文を通じ、「関係機関に侵害事故の発生事実を即時に申告し、流出原因と規模を調査している」と明らかにした。
しかしネットマーブルがKISAに提出した申告書によれば、ネットマーブルが初めて侵害事故を認知した時点は22日午後8時56分である。実際の申告は約72時間後に行われたことになる。現行の情報通信網法施行令によれば、情報通信サービス提供者は侵害事故の発生を知ったときから24時間以内に科学技術情報通信部長官またはKISAに申告しなければならない。
ネットマーブルは「ハッキング事故の法定申告基準は『侵害の兆候を認知した時点から24時間以内』であり、個人情報流出事実に関する申告は72時間以内だ」とし、「土曜日に異常兆候を認知したため、24時間以内に申告を進めたとしても、実際の受理は日曜日にならざるを得なかった」と説明した。
さらに「利用者保護措置を優先して実行した後、法定基準に従い72時間以内に流出申告手続きを完了することに集中した」とし、「意図的な遅延や過小報告は全くなく、『即時対応』は単なる時間的な迅速さではなく、利用者被害の最小化に向けた実質的な保護措置中心の対応だった」と付け加えた。
ネットマーブルは事故内容を「外部に公開された資産でSQL(データベース命令語)クエリが可能なパラメーターが存在」と記載した。SQLは膨大な情報が入ったデータベース(DB)を管理する際に使う言語で、DBにあるデータを探索し処理する命令をクエリ(query)と呼ぶ。ホームページを通じてDBにアクセスし内部情報を窃取できるセキュリティの抜け穴が見つかったという趣旨と解釈される。
先立ってネットマーブルは前日、ホームページを通じて「今月22日、外部ハッキングにより顧客情報流出の兆候を確認し対応中だ」と明らかにした。
ネットマーブルによると、流出が発生したゲームは囲碁、チャンギ、マグマグ、四川省、ヤチェブラクリなど、ネットマーブルのPCサイトを通じてサービスされる18種類である。モバイルゲームおよびネットマーブルランチャーで実行するゲームは該当しない。
流出した情報は、PCゲームサイトの顧客の氏名・生年月日・暗号化されたパスワード、加盟PC房(PCバン)の事業主の氏名・メールアドレス、現職・退職社員の氏名と会社メール・電話番号などである。住民登録番号のようなセンシティブ情報は含まれていないというのがネットマーブルの説明だ。
イ・ジョンホン共に民主黨議員は「通信、コマース企業に続き韓国の大手ゲーム会社までがハッキングされ、韓国社会全般のセキュリティ体制の脆弱さがまた露呈した」と述べ、「とりわけオンラインゲームの特性上、金融決済と直結するセンシティブ情報が露出し得るため極めて深刻な事案だ」と語った。
続けて「特定産業、企業を越え、国家全体のサイバーセキュリティ体制を抜本的に再整備すべき時だ」とし、「今こそ政府と企業の双方が『事後対応』ではなく、先制的・構造的なセキュリティ強化へ転換しなければならない」と述べた。