3370万件に達する顧客の個人情報流出事態が発生したが、事故当時にクーパン内部のアクセス権限構造と統制体制が実際にどのように運用されていたのかは依然として「霧の中」にとどまっている。
クーパンは個人情報の取り扱いに関して「業務上必要最小限の人員にのみアクセス権限を付与する」という原則を掲げているが、これを立証する核心資料は政府・国会のいずれにも提出していない。
5日付のChosunBizの取材を総合すると、クーパンは個人情報保護のために▲アクセス権限の最小付与▲データベース(DB)アクセス統制▲アクセス記録および管理などを実施すると個人情報取扱方針などに明記している。クーパンが発行したサステナビリティレポートなどにも個人情報保護と内部統制を強化する趣旨の内容が盛り込まれている。
しかし今回の流出事故で当該原則が実際のシステムで適切に実装されていたかは、いまだ確認不能の状況だ。これを確認するため、与野党の議員がクーパンにセキュリティシステム・権限管理規程などの核心資料の提出を要請したが資料が届かず、2日に国会の科学技術情報放送通信委員会と3日の政務委員会の緊急懸案質疑で改めて資料提出を公式に求める事態となった。
国会政務委員会所属のキム・サンフン国民の力議員室がクーパン・個人情報保護委員会(以下、個情委)から提出を受けた資料によると、クーパンは▲事故当時の内部者アクセス権限構造(IAM)▲当該アカウントがアクセス可能だった情報DBの範囲▲非許可アクセスを検知するシステムの作動有無を確認できるログ記録などの核心資料の提出は困難だとの立場である。警察捜査に影響を及ぼすおそれのある情報の対外説明を自制してほしいという公式要請に従うべきだということだ。
このため、3370万件に達する個人情報がどの経路と構造を通じて大量に流出したのかすら、公式に確認・検証できていない。クーパンが明らかにした「アクセス権限の最小化原則」が実際に順守されたかどうかの確認は事実上、空白状態だ。さらに大規模な個人情報へのアクセス・流出が可能だったのか、同種のリスクが再発する可能性があるのかすら、現時点では外部から確認・検証できない。
個情委の調査経過報告書によれば、先月16日に顧客の通報メール(VOC)を通じて不正アクセスの兆候を初めて把握し、▲1次調査で4536人の個人情報流出の事実を確認して認証キーを破棄▲ログ分析の範囲を拡張した2次調査で3370万人の個人情報流出の事実などのみが確認された。
業界では今回の事態を、クーパンの内部セキュリティ・統制体制が十分に機能しなかった構造的問題とみている。アクセス権限の最小化―権限検証―ログ監査へとつながる基本的統制体制が適切に作動していれば、内部の認証情報が流出したとしても被害規模は限定されるべきだったということだ。
セキュリティ業界の関係者は「正常な内部統制体制が整っていたなら、IAMやアクセスログなどの基本資料を基に、どのような権限が付与され、非許可アクセスが遮断されたのかを企業がまず積極的に説明したはずだ」と述べ、「現在のクーパンの動きは、内部セキュリティ体制が実際にどのように運用されていたかを外部で検証する根拠すら不足しているというシグナルとしか読めない」と語った。
キム・サンフン国民の力議員は「クーパンが『最小権限の原則』を掲げてきたこととは別に、これを立証する核心資料すら提出できない現実は、内部統制体制が事実上機能していなかったことの傍証だ」と述べ、「政府と国会が基本的なアクセス権限構造すら確認できないという状況自体だけでも、クーパンの今回の事態は単純な事故ではなく、構造的な管理不備の結果だと言える」とした。