中小ベンチャー企業部(中企部)が意気込んで立ち上げた創業オーディションが、スタートから数日で個人情報流出事故に見舞われた。合格者の創業アイデアと審査評まで漏れ、波紋が広がっている。
中小ベンチャー企業部は18日、国民向け創業プロジェクト「みんなの創業」の1次合格者5000人の非公開情報にアクセスした形跡が確認されたと明らかにした。流出した情報はメールアドレス、アイデア要約、審査評だ。同日午後1時、韓国インターネット振興院(KISA)に流出の事実を届け出て謝罪文を掲載した。
6万3000人余りが殺到した競争を勝ち抜いた5000人が、そのまま被害対象となった。彼らが懸念するのはメールの露出にとどまらない。事業の種であるアイデアと、それを評価した審査評が丸ごと抜き取られた点だ。
偶然にも16日は、韓成淑(ハン・ソンスク)中企部長官が出席する中、1期の発足式が開かれた日だった。韓長官は現在、国務総理候補として人事聴聞を控えている。
事故の出発点は15日午前9時だった。合格者5000人のプロフィールがプラットフォーム上で公開された時だ。このとき表示された項目は、ニックネーム、フォロー数、ラウンド進出の有無だった。メールアドレス、アイデア要約、自己紹介は、本人が公開・非公開を選べる項目だった。
重要なのは、公開されたプロフィールを足がかりに非公開領域へもアクセスが行われた点だ。中企部は、国内IP9件が許可されていない経路で非公開情報にアクセスしたとみられる状況を確認したと説明した。どのような侵入方式が使われたのか、どこに脆弱性があったのかはまだ明らかになっていない。
認知と遮断はいずれも一歩遅れた。中企部は15日午後3時ごろ、利用者の問い合わせで事故に気づき、1時間後にアクセス経路を遮断した。しかし翌16日午前、非公開登録のメールアドレス宛てに、ある人工知能(AI)ソリューション企業の宣伝メールが届いたという苦情が入った。自動収集をふるい落とす保安機能は、その日の夕方になってようやく追加された。
被害者の怒りは、流出した情報の性質に由来する。ある合格者は「誰にも教えたことのないニックネームとメールアドレスに広告メールが来た」と語った。別の合格者A氏は、遮断発表後の16日にもAPIを通じてメール収集が可能だったと把握しているとして、「対応がずさんだった」と主張した。
SNSには激しい反応があふれた。「みんなの創業とは、みんなのアイデアを公開しろという意味だったのか」「自分の創業アイデアが公有財産になった」といった嘆きが相次いだ。創業アイデアは事業化前段階の知的財産に近い。競争相手や業者の手に先に渡れば、市場先取りそのものが揺らぐ。通常の連絡先流出とは重みが違う理由だ。
今回の事故が一層痛いのは、情報を漏らした主体が政府だという点だ。これまで政府は、個人情報を流出させた民間企業に数十億、数百億ウォン規模の過料を科してきた。保安責任を厳しく問う側が、肝心の自ら運営するプラットフォームの非公開情報を守れなかった。
設計段階の欠陥を指摘する声が大きい。公開情報と非公開情報が同じシステム内で扱われたため、権限のないアクセスが入り込む余地が生まれたというのだ。外部からデータを大量に吸い上げる試みを遮断する仕組みや、不審なアクセスをリアルタイムで検知する監視も不足していたという評価が続く。
解決策の方向性は明確だ。公開データと非公開データを分けて保管し、アクセス権限を必要最小限に絞ることが先決だ。短時間に異常な量の要求が集中すれば自動で遮断する仕組み、流出時に直ちに当局へ知らせる体制も整える必要がある。政府が運営する国民向けプラットフォームであれば、公開前にセキュリティ点検を義務化することも先延ばしにできない。
中企部は国家サイバー安保センターなど外部機関とともに原因を調査している。正確な流出規模と侵入経路は調査結果を待つ必要がある。明らかなのは、国民のアイデアを集めると掲げた舞台が、そのアイデアを守る面では脆弱だったという事実だ。失われた信頼を取り戻す出発点は、責任の所在を最後まで明らかにすることにある。