주메뉴바로가기본문바로가기
비즈한국 비즈한국

緊急点検
相次ぐハッキング被害、オンライン書店大手4社のセキュリティ実態の現在地

この記事はAIによって自動翻訳されました。原文(韓国語)と異なる部分がある場合があります。  Read original in Korean →

[비즈한국] イエス24053280のシステム麻痺事態をはじめ、国内の主要書店や電子書籍プラットフォームでハッキング被害が相次いでおり、業界のセキュリティ能力に対する懸念が高まっている。2023年のアラジン(Aladin)における電子書籍流出事態の際にも、セキュリティ体制の脆弱性と改善の必要性が指摘されていた。

実店舗中心だった過去とは異なり、電子書籍の流通とオンライン販売の割合が拡大するにつれ、業界のデジタル依存度は大幅に高まった。同時に、高度化するサイバー脅威や複雑化したクラウド・サーバー環境、内部システムのセキュリティの死角などが重なり、情報セキュリティは技術運用の基盤であると同時に、企業経営における核心リスクとして浮上している。書店業界の情報セキュリティ体制の現在地を点検する。

国内最大のオンライン書店イエス24がランサムウェア攻撃により「システム麻痺事態」を経験し、関連業界のセキュリティ能力が俎上に載せられた。写真は16日午前、ソウル永登浦区のイエス24本社。写真=パク・ジョンフン記者
国内最大のオンライン書店イエス24がランサムウェア攻撃により「システム麻痺事態」を経験し、関連業界のセキュリティ能力が俎上に載せられた。写真は16日午前、ソウル永登浦区のイエス24本社。写真=パク・ジョンフン記者

最近、イエス24はランサムウェア攻撃により5日間接続が麻痺する事態を経験した。ホームページ・アプリへのアクセス、電子書籍(eBook)のダウンロードやチケット予約などのオンラインサービスが中断され、オフライン店舗での書籍検索や一部商品の決済にまで支障が出たことで、技術インフラとセキュリティ対応能力が疑問視されている。今回の事態は、会社側が全会員を対象とした5000ウォン相当のギフト券配布を含む第1・2次補償案を発表し収束に向かっているが、アラジンの電子書籍大規模流出事態からわずか2年で発生した業界の大型セキュリティ事故という点で、関連産業内のセキュリティ体制に根本的な問いを投げかけた。

ビジネス韓国は、売上、企業規模、シェアなどを基準に国内の主要書店・電子書籍プラットフォーム企業4社に対し、情報保護の実態について質問した。教保文庫、イエス24、アラジン、リディ(RIDI)の対象企業各社は、いずれも情報保護関連の投資規模を拡大しセキュリティ能力を強化していると明かしたものの、情報保護組織の構成やCISO(最高情報セキュリティ責任者)の運用方式などでは、それぞれ異なる様相を見せた。

情報保護専任組織、教保文庫とイエス24のみ運用

教保文庫、イエス24、アラジン、リディの4社のうち、情報保護組織を別部署として設けているのは、教保文庫とイエス24の2社だった。教保文庫は2015年に情報セキュリティパートを組織した後、情報セキュリティ室へと拡充・改編して運営中である。イエス24の場合、システム運用業務と分離した情報保護専任部署を設けていると明かしたが、正確な組織構成は確認されなかった。一方、アラジンとリディは情報セキュリティ専門の部署を別途運営してはいないことが分かった。

情報セキュリティ能力を測る主要指標は、専任人材の運用状況、投資規模、CISOの指定・運用有無、情報保護関連の認証などである。これらは情報セキュリティの管理・運用能力を客観的に示す必須指標であり、法律上、情報保護公表義務対象企業に求められる項目でもある。

企業の情報保護業務を総括するCISOは4社すべてが指定しているが、兼務の有無については分かれた。リディの場合、最高技術責任者(CTO)直属にCISOを置き、セキュリティ業務を遂行している。外見上は別組織はないと見られるが、他業務を兼務しないセキュリティ専任者を中心に、内部セキュリティポリシーの策定と実行といった情報保護体制を運営しているとの説明だ。リディ側は「専門人材を配置して関連業務を専任させており、必要に応じて外部専門機関との協力も併行している」と明かした。

情報セキュリティ組織とCISOの運用状況などを総合的に考慮すると、セキュリティ・人材の側面において、教保文庫が最も体系的な構造を備えていることが分かった。教保文庫のCISOは情報セキュリティ室長が兼務しており、比較的セキュリティポリシーの独立性と専門性が安定的に確保される体制である。

韓国インターネット振興院(KISA)の情報保護公表ポータルによると、イエス24のCISOはCPO(最高個人情報保護責任者)を兼務している。イエス24は売上高要件を満たす上場企業として、4社の中で唯一情報保護の公表義務がある。CISOとCPOは類似業務と認識されるため、大企業でも統合運営される事例は多いが、責任の所在が不明確になる副作用など、効率性を重視した戦略だという批判も提起されている。

CISOの兼務の有無は、企業のセキュリティ能力を示す実質的な指標の一つである。他職務と兼務する場合、通常は情報保護業務に十分なリソースを投入できず、セキュリティポリシーの策定やリスク対応、管理に限界が生じる可能性があると判断される。一定規模(資産総額5兆ウォン以上など)以上の情報通信企業で社内のCISO兼務が禁止されているのはこのためだ。ただし、イエス24は兼務禁止の対象には該当しない。

アラジンは、ウェブインフラを担当する開発チーム1か所と監査組織が分担する形でセキュリティ業務を遂行中だと明かした。開発チームが技術的な実務を担い、監査組織でセキュリティポリシー・規定および内部統制に関する業務を遂行する形態である。CISOは社内取締役が兼務している。

4社のうち、教保文庫とリディは情報保護管理体制(ISMS-P)認証を、イエス24は情報保護および個人情報保護管理体制(ISMS-P)認証をそれぞれ取得した状態である。アラジンの場合、KISA認証書発行状況で2023年11月を有効期限とする認証のみが確認され、まだ再取得していない状態と見られる。ISMSは、企業や組織が情報資産を安全に保護するために樹立・管理・運営する総合的なISMS体系に、個人情報保護の要求事項まで統合した認証制度である。

協議体の提案は不発…連携の失敗が育てたサイバーリスク

4社とも情報保護への投資を拡大していると強調した。そのうち、教保文庫とイエス24においてのみ、年間の情報保護投資の割合や実際の規模が数値で確認された。教保文庫によると、全情報技術(IT)投資額のうち情報保護投資額が占める割合は今年6.7%で、前年度(5.0%)より1.7%ポイント増加した。イエス24の情報保護公表によると、昨年の情報保護部門投資額は約12億6900万ウォンで、全IT投資額の9.2%だった。3カ年間の情報保護投資額の推移は、2022年11億300万ウォン(IT投資額比9.2%)、2023年9億4700万ウォン(5.1%)となっている。

アラジンの関係者は「具体的な投資額や比率は明らかにできないが、過去3年間、セキュリティ投資に死活をかけて多くの予算を投入している」と語った。リディの関係者も「情報セキュリティの重要性および責任感が高まるにつれ、情報保護投資の規模を持続的に拡大している。今年下半期にセキュリティシステムを強化するための予算も策定済みだ」と伝えた。

「情報保護予算なのか、一般的なITインフラ費用なのか明確に区分できないため、関連数値を公開するのは困難だ」という業界関係者の意見もあったが、情報保護公表義務企業には当該情報の公開が法的に求められる点において、出版・書店業界内での情報セキュリティ対応体制の成熟度に企業間格差が大きく、まだ標準化されていないことが浮き彫りとなった。

書店業界は技術的な措置と内部の意識向上など、多様なセキュリティ活動を展開している。写真=ピクサベイ
書店業界は技術的な措置と内部の意識向上など、多様なセキュリティ活動を展開している。写真=ピクサベイ
この記事はAIによって自動翻訳されました。原文(韓国語)と異なる部分がある場合があります。
긴급점검
  • 【緊急点検】相次ぐハッキング被害、オンライン書店大手4社のセキュリティ実態の現在地
    【緊急点検】相次ぐハッキング被害、オンライン書店大手4社のセキュリティ実態の現在地
강은경 기자

기술과 산업을 취재하고 씁니다.

gong@bizhankook.com
저작권자 ⓒ 비즈한국 무단전재 및 재배포 금지