누구나 접속 가능한 URL 로 민감 개인정보 유출 ... `17 년 1 월부터 이달 24 일까지
8 년 넘게 3,730 만건 유출 추정
KISA· 파파존스 늑장 대응에 4 만 5 천건 추가 유출 확인
이슈앤/ 국회 과학기술정보방송통신위원회 최민희 위원장 ( 더불어민주당 , 남양주갑 )은 27일 피자업체 파파존스 고객의 개인정보가 8년 간 무방비 상태로 유출되고 있었던 것을 확인했다고 밝혔다.
최민희 위원장이 제보를 통해 확인한 바에 따따르면 개인정보 유출은 2017년 1월 1일부터 2025년 6월 24일까지 총 8년 6개월 간 이어졌으며 유출된 건수는 3,730만 건에 달한다 . 유출된 개인정보에는 이름, 연락처, 주소, 이메일 , 생년월일은 물론이고 카드번호 전부 (16자리 ), 유효기간, 카드 전표, 공동현관 비밀번호 등 2 차 범죄로 직결될 수 있는 고위험 정보가 포함돼 있었다 .
최민희 위원장실은 제보 확인 뒤 파파존스에 해당 사실을 알렸지만 정보유출이 차단되는데는 이틀이 걸렸다. 이 과정에서 한국인터넷진흥원 (KISA)에도 신고가 이뤄졌지만 KISA 역시 늑장대응했다 .
■ URL 조작만으로 타인 정보 확인 ... 무려 3,730 만 건 유출
6 월 23 일 최민희 위원장실에 접수된 제보에 따르면, 파파존스 피자 주문 페이지의 URL 구조에서 ‘order ID’ 항목에 임의의 9자리 숫자를 입력하면 그 번호에 해당하는 타인의 이름, 주소, 전화번호, 카드번호,공동현관 비밀번호 등이 그대로 노출되는 심각한 보안 결함이 존재했다.
최민희 위원장실이 제보자와 함께 분석한 결과 ,이 유출은 2017년 1월 1일부터 2025년 6월 24일까지 총 8년 6개월ㅈ간 이어졌으며, 유출된 건수는 3,730 만 건에 달한다. 또한 유출된 개인정보에는 이름, 연락처, 주소, 이메일, 생년월일은 물론이고 카드번호 전부 (16자리 ), 유효기간, 카드 전표 등 2 차 범죄로 직결될 수 있는 고위험 정보가 포함돼 있었다. 심지어 피자를 주문하면서 남긴 메모에서는 공동현관 비밀번호까지 확인됐다. 이는 단순한 정보 유출을 넘어 스미싱, 절도, 스토킹 등으로의 악용 가능성이 매우 높은 민감 정보다.
■ 사실과 다른 파파존스 측 해명 , 카드번호 전부 노출 확인
최민희 위원장은 이 사실을 확인한 즉시 한국인터넷진흥원 (KISA) 과 정보를 공유하고, 추가적인 피해를 막기 위해 사이트 접근 차단을 긴급 요청했다 . 파파존스 측은 25일 “ 노출된 정보는 고객명, 연락처, 주소 등이며 카드번호는 일부 마스킹 상태였다 ” 고 해명했지만 , 이는 사실과 다르다.
최민희 위원장실이 유출된 정보를 분석한 결과 일부 주문 정보에서는 카드번호 16자리가 전부 노출된 카드전표까지 확인됐다. 또한 제보자가 6월 23일 오전 11시 47분 고객센터에 유출 사실을 알렸지만, 사이트 보완은 이틀이 지난 25 일 오전에야 완료돼 이틀간 추가 피해가 발생할 위험성도 존재했다 .
■ 최대 5 년 보관 규정에도 8년치 주문정보 보관 ... 법령 위반 소지 명백
이번 사태에는 최대 5년간만 보관해야 할 주문정보를 8년 이상 보관했다는 점에서도 개인정보처리방침을 명백히 위반했다는 문제점이 있다. 파파존스의 개인정보처리방침에 따르면 전자금융거래에 따른 정보는 최대 5년 간 보관하도록 규정되어 있다. 그러나 이번 유출 건은 20 17년부터 2025년까지 8년치 주문 정보가 노출돼 있었다 . 이는 보유기간이 경과하였을 때에는 지체 없이 그 개인정보를 파기하여야 한다고 규정하고 있는 개인정보보호법 제 21 조 ( 개인정보의 파기 ) 제 1 항을 명백히 위반하는 행위이다.
■ 파파존스와 정부기관의 늑장 대응으로 4 만 건 추가 유출
뿐만 아니라 , 사후 대응의 미흡함으로 인해 유출을 막을 수 있었던 개인정보 약 4 만 5 천 건이 추가로 유출된 사실도 드러났다. 제보자는 이미 6월 21일 20시경 KISA 개인정보침해센터에 이 사실을 신고하고 6월 23일 11시경에는 파파존스 고객센터에도 동일 내용을 접수했다. 그러나 파파존스의 보안 조치는 6월 25일 오전에서야 완료됐다. 총 5 일이 지체된 것이다 . 그 사이에 새로 생성된 주문정보 45,296건이 그대로 유출됐다. 심지어 개인정보보호위원회의 담당 조사관 배정은 6월 26일 오후 4시 25 분에서야 완료되었고 그제서야 제보자에게 이 사실을 통보했다. 최민희 위원장은 “ 사태의 긴급성과 피해 규모를 고려한다면 명백한 늑장 대응” 이라고 비판했다 .
■ 최 위원장 “ 피해 보상 및 재발 방지 대책 마련 촉구 ”
이러한 허점에 대해 보안전문가인 김승주 고려대 정보보호대학원 교수는 최민희 의원실에 “ 기업에서 이 정도로 기본적인 보안조차 마련되지않은 기업은 처음”이라며 “이는 개인정보보호법 제 29조의 안전조치 의무 위반 소지가 크다 ”고 지적했다 .
최민희 위원장은 “ 파파존스는 3,730만 건에 달하는 개인정보를 유출시켜 수많은 국민을 위험에 노출시킨 것도 모자라, 거짓 해명으로 사태를 은폐하려 했다"며 “ 정부기관 역시 사건의 심각성을 인지하지 못한 채 대응에 소극적이었다 ”고 지적했다.
그러면서 “ 무책임한 태도로 일관하며 사안을 축소하는 데만 치중하고 있는 파파존스는 개보위 조사에 성실히 협조하고 진심 어린 사과와 피해 보상, 그리고 재발 방지 대책을 마련해야 할 것”이라며 파파존스의 책임있는 자세를 촉구했다.
[이슈앤 = 최문봉 기자]
[저작권자ⓒ 이슈앤. 무단전재-재배포 금지]
