「今回の事態は高度化した攻撃というより、認証体制や鍵管理など管理の不備の問題とみることができる。」
チェ・ウヒョク科学技術情報通信部情報保護ネットワーク政策室長は10日、ソウル政府総合庁舎で開かれた「クーパン侵害事故民官合同調査団調査結果発表」ブリーフィングでこう明らかにした.
科学技術情報通信部によると、クーパンのマイページ(情報修正ページ)で氏名・メール情報3367万3817件の流出が確認され、配送先一覧ページは1億4805万6502回閲覧された。注文履歴ページの閲覧は10万2682回、配送先修正ページの閲覧は5万474回と集計された.
チェ室長は今回の事故を「国内最大の電子商取引プラットフォームで発生した重大な侵害事故」と規定し、「法と原則に基づき国内外企業の区分なく同一基準を適用して調査した」と明らかにした。また「最終的な個人情報流出規模と法違反の判断は個人情報保護委員会が確定して発表する事案だ」と述べた.
この日、科学技術情報通信部は「閲覧」と「流出」の区分に関する説明を繰り返した。チェ室長は「閲覧だからといって責任が軽くなるわけではない」と線を引き、イドングン民官合同調査団副団長は「閲覧した瞬間に情報がシステムの統制権外に出るため流出とみる」とし、「報道資料での表現も『閲覧して流出』と記し、技術的意味を明確にするためのものだ」と説明した.
事故の経緯については、前職員が在職当時に扱っていた認証システムの署名鍵を悪用し、電子入館証を改ざんし、このトークンで正常なログイン手続きなしにサービスへ不正アクセスしたことが調査で判明した。調査団は「ゲートウェイ区間で改ざんトークンを排除する検証手続きが不十分だった」と判断した.
イム・ジョンギュ民官合同調査団長は「ISMS-P基準上、職務分離と暗号鍵管理で未達要素が確認された」とし、「まず補完措置を要求し、不履行時は是正命令、その後も改善されなければ取消手続きに進むことができる」と述べた。攻撃手法は自動化されたウェブクローリングだった。調査団は攻撃に使用されたIPを2313個と特定し、攻撃者の記憶装置のフォレンジックで外部クラウド送信機能を含むスクリプトも確認した。ただし実際の外部送信の有無は「記録が残っておらず断定し難い」と明らかにした.
法違反に関する措置も予告された。科学技術情報通信部は、クーパンが侵害事故を認知後24時間以内の通報義務を守らなかった点について、情報通信網法上の過料を科す方針だ。資料保全命令以降に一部ログが削除された事案は捜査機関に捜査を依頼した。政府はクーパンに再発防止履行計画の提出を求め、点検結果に応じて追加の是正措置の要否を決定する計画だ.
チェ室長は「会員・非会員の区分、最終的な課徴金算定は個人情報保護委員会の判断を待たなければならない」としつつも、「現在までダークウェブなどでの二次被害の兆候は確認されていない」と述べた。決済情報の流出有無については「調査範囲内では確認されなかった」とした。続けてチェ室長は「調査団は特定企業を狙ったり差別したりしない」とし、「結果は迅速かつ透明に公開する」と重ねて強調した.