クーパン認証キー更新せず退職者が情報流出

クーパンで大規模な顧客情報流出が起きた背景に、長期有効の認証キー管理の不備があったとの指摘が出ている。認証関連の担当者に発行される署名キーを更新せず、退職した従業員が引き続きアクセスできる構造が維持され、この穴が大規模流出につながったとの分析である.

1日、国会科学技術情報放送通信委員会所属のチェ・ミンヒ共に民主黨議員室がクーパンから提出を受けた資料によると、クーパンは「トークン署名キーの有効認証期間に関して5〜10年に設定する事例が多いと承知している」とし、「ローテーション期間は長く、キーの種類によって非常に多様だ」と述べた.

ログインに必要なトークンがデータにアクセスする扉を開ける一次的な入館証だとすれば、署名キーは入館証に押印する一種の印鑑の役割を果たす。クーパンのログインシステム上、トークンは生成されて直ちに破棄される状況であるにもかかわらず、トークン生成に必要な署名情報を担当従業員の退職時に削除または更新せず、内部従業員が悪用したというのが議員室の分析である.

議員室は「署名キーの更新は最も基本的な内部手続きであるにもかかわらず、クーパンはこれを守らなかった」とし、「長期有効の認証キーを放置したのは単なる内部従業員の逸脱ではなく、認証体制を放置したクーパンの組織的・構造的問題の結果だ」と述べた.

今回のクーパンの大規模な顧客情報流出事件は、すでに退職した中国籍の従業員によるものと推定されている。開発者だった当該従業員が退職後、在職当時に確保したトークンを利用し、中国で顧客の情報を流出させた可能性が高まっている.