酷澎顾客信息被查询1.5亿次……这种情况下还主张“只泄露3000个”吗？

据10日的民官联合调查结果显示，酷澎（Coupang）大规模信息泄露事件中，显示顾客姓名、电话号码、地址等的“配送地目录页面”被点击了1.5亿次。这意味着，信息泄露规模比当初传出的要大得多。该页面很多情况下包含收发礼物的家人或朋友等个人信息，因此损失可能会进一步增加。

根据此次调查结果，从酷澎辞职的信息泄露者从“我的信息修改页面”中窃取了包括名字和电子邮件在内的3367万多件个人信息。酷澎去年底突然发表“自我调查”结果时主张，“虽然接近有3300万次，但实际上储存只有3000个”，因此被人认为可能是想减少泄露的损失。韩国政府此次正式宣布“泄露规模超过3300万件”。据悉，该泄露者不仅点击了1亿次以上的配送地目录页面，还点击了5万多次可以知道共同玄关密码的“配送地目录修改页面”，最近显示明细的“订购目录页面”也点击了10万多次。有人指出，这些信息用于广告或营业营销固然是问题，但如果流入电话诈骗等犯罪集团，可能会造成无法挽回的损失。

调查结果显示，在外部入侵持续的7个月里，酷澎的保安系统形同虚设。信息泄露者在酷澎任职期间，用事先伪造、变造的“电子出入证”在辞职后也自由出入内部系统。也就是说，只要酷澎方面辨别出接近服务器的电子出入证的真伪，就可以防止事故发生。更严重的问题是，酷澎也已经知道基于电子出入证的认证体系的弱点。据调查，酷澎通过模拟黑客等发现了系统的弱点，但没有找到解决方案。年销售额超过40万亿韩元的大型技术企业的低保安意识最终导致了数千万顾客的损失。

但是，政府的制裁力度有限。根据《信息通信网法》，可以以没有遵守“在得知侵害事故后24小时内申报”义务为由征收罚款，但最高金额仅为3000万韩元。不过，最终确定并宣布信息泄露规模的个人信息保护委员会可以处以总销售额3%的罚款。彻底、公正的调查固然是首要的，但是其结果带来的惩罚也不能举棋不定。