昨年発生したクーパンの個人情報流出事故は、クーパンが認証関連業務の開発者が退職した後も認証署名キーを即時に更新しなかった明白な管理不備が原因であることが判明した。科学技術情報通信部(民官合同調査団)は10日、政府ソウル庁舎でこの内容を盛り込んだクーパン侵害事故に関する民官合同調査団の最終調査結果を発表した。科学技術情報通信部によると、クーパンでは昨年4月14日から11月8日まで約3367万人の顧客の情報が流出した。元社員がクーパンのウェブページに接続して利用者情報を流出させたという。クーパンは昨年末の自社調査結果として被害アカウントは約3000件水準だとしたが、実際の被害はこれよりはるかに大きかった。科学技術情報通信部は、クーパンが資料保存命令に違反したことについては捜査機関に捜査を依頼し、侵害事故の遅延に対しては過料を賦課する予定だ。
詳細としては、クーパンの「マイ情報修正ページ」から氏名・メールを含む利用者情報3367万3817件が流出した。個人情報保護法違反に当たる個人情報の照会も多数行われた。氏名・電話番号・住所・特殊文字で非識別化された共同玄関の暗証番号を含む配送先一覧ページは1億4805万6502回の照会が行われ、情報が流出した。配送先一覧ページにはアカウント所有者本人のほか、家族、友人など第三者の氏名、電話番号、配送先住所などの情報も多数含まれていた。氏名・電話番号・住所・共同玄関の暗証番号を含む配送先一覧修正ページも5万474回、利用者が最近注文した商品一覧を含む注文一覧ページは10万2682回、攻撃者による照会が行われた。
調査団はウェブ接続記録などを基に流出規模を算定しており、今後の個人情報流出規模については個人情報保護委員会が確定して発表する予定である。
◇ クーパン「脆弱なサーバー認証・管理体制」で情報を窃取…「依然として不十分なシステム」
個人情報流出事態を招いたクーパンの元社員(攻撃者)は、クーパンサーバーの脆弱な認証の脆弱点と、不在に等しい杜撰な管理体制を悪用して個人情報を入手できた。調査団は攻撃者PCの記憶装置(HDD2台、SSD2台)のフォレンジック結果から、クーパンが使用している利用者固有識別番号および改ざんされた「電子出入証」を確認した。元社員はクーパン在職当時、システム障害などに備えたバックアップのための利用者認証システムの設計・開発業務を担ったソフトウエア開発者だ。誰よりもクーパンの認証体制と署名キー管理体制の脆弱点を認識していた人物である。元社員は退職後、当時窃取した利用者認証システムの署名キーと内部情報を活用して「電子出入証」の改ざんを進めた。その後、これを利用して正常なログイン手続きを経ずにクーパンの認証体制を通過し、1月5日から20日までは本格的な攻撃に向けた事前テストを実施する周到さを見せた。
約3カ月後の4月14日から7カ月間にわたり大規模な情報流出が進行した。攻撃者は自動化されたウェブクローリング攻撃ツールを利用して大規模な情報を流出させた。この過程で攻撃者は計2313個のIPを用いた。科学技術情報通信部は、攻撃者が情報収集および外部サーバー送信が可能な攻撃スクリプトを作成したことも確認した。さらに、改ざんされた「電子出入証」を利用して他人のアカウントに無断接続した後、流出した情報(注文一覧など)を海外所在のクラウドサーバーに送信できる機能も確認した。ただし、科学技術情報通信部は実際に情報送信が行われたかどうかについては記録が残っておらず確認できないとした。
この過程でクーパン内には「電子出入証」の改ざんに関する確認手続きがなかった。クーパンは業務担当者が退職する場合、当該署名キーをこれ以上使用できないよう更新手続きを進めるべきだったが、関連体制および手続きが不備だった。クーパンは今回の侵害事故で同一のサーバー利用者識別番号を反復使用し、改ざんされた「電子出入証」を活用した非正常な接続行為が発生したにもかかわらず、当該攻撃行為による情報流出を検知・遮断できなかった。
しかし、依然としてクーパンの認証とキー管理体制は不十分だ。クーパンは事故後も模擬ハッキングで発見された問題に限ってのみ解決策を模索し、サーバー利用者認証体制の改善など全般的な問題点の検討を進めなかった。調査団は在職中の開発者ノートPCのフォレンジックで、署名キーをキー管理システムのみに保存すべきであるにもかかわらず、開発者ノートPCに保存(ハードコーディング)していた事実も確認した。さらに、クーパンは署名キーの履歴管理体制が不在で、目的外使用を把握することが不可能だった。加えて調査団が情報保護および個人情報保護管理体制認証(ISMS-P)についても点検した結果、クーパンは開発と運用を分離せず、開発者に実際に運用中の「キー管理システム」へアクセスできる権限を付与していた。特に内部規程ではキーの寿命のみを3年サイクルで定義し、利用者の情報変更に伴う交換などの詳細な運用手順の整備が不十分だった。
科学技術情報通信部は「『電子出入証』に対する検知および遮断体制を導入し、認証キーの管理・統制体制を強化して運用管理基準を明確にし、常時点検を実施すべきだ」とし、「非正常な接続行為の検知モニタリングを強化し、ログの保存管理ポリシーを策定・整備すべきだ」と述べた。
◇ 遅延申告の過料賦課・資料保存命令違反で捜査依頼
科学技術情報通信部は、クーパンが資料保存命令に違反したことについては捜査機関に捜査を依頼し、侵害事故の遅延申告については情報通信網法に基づき過料を賦課する予定だ。
クーパンは昨年11月19日午後9時35分、韓国インターネット振興院(KISA)に侵害事故を申告した。しかし、これは侵害事故がクーパン内の情報保護最高責任者(CISO)に報告された時点(昨年11月17日午後4時)から24時間以上経過した後に行われた。資料保存も守られなかった。科学技術情報通信部は侵害事故が申告された直後の昨年11月19日午後10時34分、クーパンに対し情報通信網法に基づき侵害事故の原因分析のため資料保存を命令した。しかし、クーパンは資料保存命令にもかかわらず自社の接続記録の自動ログ保存ポリシーを調整せず、約5カ月(2024年7月〜11月)分のウェブ接続記録が削除された。また、2025年5月23日から6月2日間のアプリケーション接続記録データも削除された。
科学技術情報通信部側は「クーパンに再発防止対策に基づく履行計画を今月中に提出させ、今年6〜7月に履行の有無を点検する計画だ」とし、「点検結果、補完が必要な事項については情報通信網法第48条の4に基づき是正措置を命令する計画だ」と述べた。