グローバルテック流通企業を標榜する電子商取引(イーコマース)企業「クーパン」のセキュリティ投資規模は、全売上高の0.2%水準にとどまることが集計された。これはグローバルテック企業と比べると低水準である。
◇ グローバルテック企業比でセキュリティ投資比率が低い
3日、流通業界によると、昨年のクーパンの売上高に対するセキュリティ業界への投資額は0.2%水準だった。クーパンの昨年の売上高は302億6800万ドルだった。2月に米ドルに対するウォン相場を適用して換算した売上高は41兆2901億ウォン水準で、このうちクーパンは860億ウォンをセキュリティ体制に投資したと集計された。
これはグローバルテック企業と比べて低水準である。イーコマース企業アマゾンの2023年基準の売上高は5748億ドル(約845兆ウォン)で、このうちセキュリティ高度化などへの投資額は年間最低60億ドル(8兆9000億ウォン)水準と推計された。売上高比の投資額は約1%水準だった。マイクロソフトやグーグル、JPモルガンも全売上高比で約1.0〜1.9%を投資している。
クーパンの売上高比セキュリティ投資額は、韓国の競合他社と比べても低い部類だった。韓国インターネット振興院によると、昨年基準でイーマートは約60億ウォンを情報保護分野に投資した。昨年の売上高は約29兆ウォン水準で、売上高比約0.2%水準だった。ロッテショッピングは72億ウォンをセキュリティ分野に投資した。売上高比は約0.5%水準である。
流通業界では、クーパンのセキュリティ投資規模が売上高比で低い理由は、売上高が急速に拡大したためだと見ている。クーパンの売上高は2020年当時でも13兆9235億ウォン水準だったが、5年で3倍になった。流通業界の関係者は「組織が急速に拡大する過程で内部投資が不十分だったと見るべきだ」と語った。
セキュリティ投資をコストとみなす文化のためだという指摘も出た。情報保護分野で問題が生じても課徴金が大きくないためだ。国会政務委員会所属のキム・ナムグン共に民主黨議員室によると、2020年8月から今年9月までに計1億916万4950件の個人情報が流出し、累計課徴金は3671億1595万6000ウォンだった。件当たりの課徴金は約3360ウォン水準だった。個人情報保護法によれば、個人情報が流出した場合、全売上高の最大3%まで課徴金を課すことができる。ただし、流出事案と無関係な売上高は算定基準から除外され得る。
あるセキュリティ業界関係者は「昨年初めにGSリテールで個人情報が大量に流出した際、流通各社が競って情報セキュリティ分野に投資することを期待したが、そうはならなかった」とし、「当面は生き残りと成長で手一杯の中、起きてもいないこと、起きても大事には至らないことに費用を投じようという声を上げにくい構造のためだ」と述べた。
◇ 「内部統制の不備のせい」との声も
流通業界では、クーパンの個人情報流出事故は絶対的な投資額と関係なく内部統制に問題があって起きた事案だという点に注目すべきだとしている。クーパンの認証業務を担っていた社員が退職したにもかかわらずセキュリティトークンがそのまま維持されて発生した事案のためだ。むしろセキュリティ分野に投じた絶対額自体は小さくない点から、無駄金を使ったことが問題だとの指摘が出ている。
ある流通業界関係者は「玄関ドアを鉄扉に替えて金の縁取りを施しても、鍵がそのままならセキュリティは突破されるしかない」とし、「投資額が問題なのではなく、内部マニュアル自体が間違っていると見るべきだ」と語った。キム・ファングク国民大学情報保安暗号数学科教授も「企業が退職者のアカウントや権限をすべて抹消するのが一般的だが、不可解だ」と述べた。キム・スンジュ高麗大学情報保護大学院教授は「今回の事態の核心原因は内部社員の統制失敗だ」と述べた。