クーパンの大規模個人情報流出事件を捜査中の警察が、クーパンの保安金庫に当たるキー管理システムの内訳を確保したことがわかった。警察はまた「開発者の上の開発者」と呼ばれる職級でクーパンと海外有数企業で勤務した中国籍の被疑者が情報を流出した意図と経緯を調べている。官民合同調査団もやはり今回の事件と関連しクーパンが適切なセキュリティ措置を取っていたのか確認を進めている。

ソウル警察庁サイバー捜査課とIT業界によると、警察は認証システム開発業務を担当した中国人被疑者A氏とクーパン社員が昨年4月11日から先月8日までキー管理システムにアクセスした内訳とアカウントの使用・搬出・廃棄・管理履歴などを押収した。キー管理システムはパスワードやAPIキーなど敏感な情報を安全に保管し、必要な時だけ借りて使うようにする一種の金庫のようなセキュリティソフトウエアだ。敏感な情報を中央・暗号化しアクセス権限がある人にだけ臨時認証キーを発給する機能を提供する。


専門家らは警察が今回のキー管理システム使用内訳を入手したことで事故の責任構造とクーパンのセキュリティ管理実態を幅広く確認できるようになったと話す。キー管理システムには監査ログが残りセキュリティ事故を追跡できるためだ。これに伴い、昨年末にA氏が退社し満了すべきだった権限がそのまま維持されていたのか、権限回収が正しくされていたのかなどの争点が捜査で究明できる。


情報セキュリティ専門企業78リサーチラボのパク・ムンボム首席研究員は「クーパンの個人情報保護規定とキー管理システムの実際の作動方式が一致したのかなどを判断する核心証拠を警察が確保したもの」と説明した。ただ「事故後にログ記録が削除・初期化されたり保存期間が過ぎていれば捜査が難航しかねない」と付け加えた。

警察・官民合同調査団の調査の結果、セキュリティが形式だけで実質がない場合、クーパンに不利に作用するという分析も出ている。セキュリティシステムを導入しながらセキュリティ政策は緩く運営するケースは少なくないというのが業界関係者らの指摘だ。韓国のホワイトハッキングチーム「TeamH4C」関係者は、「事実セキュリティと便宜性は相反する関係。セキュリティがとても厳格ならばユーザーは面倒で生産性も低下しかねないため」と説明した。

◇警察、クーパン本社5日にわたり家宅捜索

クーパンの情報流出事故後、警察は13日まで5日にわたり家宅捜索を継続している。中央日報の取材を総合すると、A氏は約20年のキャリアを持つ中堅開発者だという。中国の大学でコンピュータ工学科を卒業後、ナスダック上場企業で経験を積み、以前の職場では中間管理職を務めた。クーパンではスタッフソフトウエアエンジニアとして勤務したという。IT業界関係者は「スタッフソフトウエアエンジニアは単純開発者を超え特定のシステムや技術領域で高い自律性と権限、責任を持つ職責」と説明した。

警察は流出動機などを確認するためにA氏の人事成績・懲戒など勤務評定資料と彼がクーパンソウル支社で勤務する際に使っていたPC、ノートパソコン、USBメモリーなども押収した。また、2022年11月から2025年1月までクーパンの内部組織図とIT関連部署の社員名簿、職級、職責、担当業務、国籍、電話番号なども幅広く確保している。

◇クーパン議長「聴聞会出席不可…公式ビジネス日程」

一方、キム・ボムソク議長をはじめとするクーパンの主要経営陣は17日に開かれるクーパン聴聞会に証人として出席しないことにした。キム議長は14日に国会に提出した欠席事由書で「本人は現在海外に居住し勤務する中で、170カ国で営業する世界的企業のCEOとして公式なビジネス日程がある関係でやむをえず聴聞会に出席ができないことを理解してほしい」と明らかにした。パク・デジュン元代表、カン・ハンスン元代表も欠席事由書を提出した。

この日国会科学技術情報放送通信委員会のチェ・ミンヒ委員長はフェイスブックに「どれも無責任な認めることはできない事由。委員長として認められず、委員らとともに相応の責任を問うようにする」と明らかにした。