クーパンで顧客約4500人の個人情報が流出する侵害事故が発生したにもかかわらず、10日以上これを認識できなかったことが分かった。実際の流出時点と顧客への通知日が異なり、正確な情報提供にも抜けがあったとの批判が出ている。
21日、国会科学技術情報放送通信委員長チェ・ミンヒ議員室が韓国インターネット振興院(KISA)から提出を受けた侵害事故申告書によると、クーパンは6日午後6時38分、自社のアカウント情報に対する無断アクセスが発生したと報告した。しかしクーパンがこの事実を認識した時点は12日後の18日午後10時52分と記録されている。
クーパンは18日、被害顧客にショートメッセージを送り「11月18日に個人情報が非認可で照会されたことを確認した」と通知した。実際の侵害は6日に発生していたにもかかわらず、内部での検知と顧客への案内はいずれも約10日遅れたことになる。このため、基本的な異常検知体制が適切に作動しなかったとの指摘が出ている。
ただし情報通信網法は、事業者が侵害事実を知ったときから24時間以内に申告するよう規定している。クーパンは19日午後9時35分に当局へ申告し、法定期限は守った。
申告書によると、クーパンは「有効な認証なしに4536件のアカウントプロファイルにアクセスした記録が見つかった」と明らかにした。初期調査の結果、署名付きアクセストークンが悪用されたと推定される。無断アクセスを受けたアカウントプロファイルには、直近5件の注文履歴と名前・電話番号・住所などの配送アドレス帳情報が含まれていたとみられる。
クーパンは問題となったトークンの取得経路を調査中で、トークン署名キーをすべて廃棄し、検知ルールを強化したと説明した。現在、科学技術情報通信部とKISA、個人情報保護委員会が流出経緯や実際の被害規模などを調査している。
専門家は「侵害発生後、10日間検知できなかったというのは構造的なセキュリティ管理の不備を露呈した」とし、「大規模プラットフォームの認証・モニタリング体制を全面的に再点検する必要がある」と指摘した。