최민희 의원실 추정…"주문확인 페이지 URL 변경만으로 고객정보 조회"
"사태 긴급성·피해 규모 고려하면 KISA 명백한 늑장 대응" 지적도
"사태 긴급성·피해 규모 고려하면 KISA 명백한 늑장 대응" 지적도
한국파파존스 고객정보 유출 사고…개인정보위 조사 착수
(서울=연합뉴스) 류효림 기자 = 피자 프랜차이즈 한국파파존스에서 고객의 개인정보 유출 사고가 발생해 개인정보위가 조사에 착수했다. 파파존스는 지난 26일 입장문을 내고 "일부 고객 정보가 외부에 노출될 수 있는 보안 취약점을 발견했다"며 "노출 정보는 고객명과 연락처, 주소 등이며 카드 정보의 경우 카드번호 16자리 중 일부가 마스킹(가림) 처리된 상태로 확인됐다"고 밝혔다. 사진은 27일 서울 시내에 파파존스 피자 매장 모습. 2025.6.27 [email protected]
(서울=연합뉴스) 류효림 기자 = 피자 프랜차이즈 한국파파존스에서 고객의 개인정보 유출 사고가 발생해 개인정보위가 조사에 착수했다. 파파존스는 지난 26일 입장문을 내고 "일부 고객 정보가 외부에 노출될 수 있는 보안 취약점을 발견했다"며 "노출 정보는 고객명과 연락처, 주소 등이며 카드 정보의 경우 카드번호 16자리 중 일부가 마스킹(가림) 처리된 상태로 확인됐다"고 밝혔다. 사진은 27일 서울 시내에 파파존스 피자 매장 모습. 2025.6.27 [email protected]
(서울=연합뉴스) 양정우 이상서 기자 = 고객 정보 유출 문제로 개인정보보호위원회의 조사가 시작된 피자 프랜차이즈 한국파파존스에서 최근 약 9년간 3천732만건의 고객 정보가 유출됐을 가능성이 있다는 추정이 나왔다.
27일 국회 과학기술정보방송통신위원회 위원장인 최민희 더불어민주당 의원실 등에 따르면 한국파파존스 고객은 홈페이지에서 피자 등 음식을 주문할 경우 주문조회 페이지에서 자신이 시킨 음식의 조리·배달 상황을 확인할 수 있다.
통상 고객은 홈페이지에 로그인한 상태에서 주문정보를 조회할 수 있다.
IT업계 종사자인 30대 김모 씨는 지난 21일 오후 한국파파존스 홈페이지에서 피자를 주문한 뒤 음식 조리·배달 상태를 확인하다 놀라운 사실을 발견했다.
주문상태를 확인할 수 있는 웹페이지의 주소창에서 URL(인터넷 주소) 끝자리의 숫자 9개 중 일부를 바꿔봤더니 다른 고객의 주문·개인정보가 나타난 것이다.
이들 정보에는 이름과 연락처, 주소 등 기본 정보는 물론 이메일, 생년월일, 카드번호, 카드 유효기간, 카드전표, 공동 현관 비밀번호, 적립포인트 등 최대 10가지가 넘는 개인정보가 포함돼 있었다.
김씨는 주소창의 URL 끝자리 숫자 9개를 다른 숫자로도 변경해봤고, 그때마다 다른 고객의 주문·개인정보가 나타나는 일이 반복되는 것을 확인했다.
김씨는 파파존스 홈페이지에서 개인정보가 쉽게 유출될 수 있을 것을 우려해 당일 한국인터넷진흥원(KISA) 개인정보침해 신고센터에 이를 알렸다,
이런 사실을 접한 최민희 의원실은 김씨와 함께 한국파파존스 홈페이지에서 그간 얼마나 많은 고객 정보가 유출됐던 것인지 자체 파악에 나섰다.
조사결과 2017년 1월 1일부터 최근까지 주문자 수 기준으로 모두 약 3천732만건의 고객정보가 유출됐을 가능성이 있는 것으로 최 의원실은 추정했다.
고의적인 해킹 공격을 통해 고객 개인정보가 외부로 유출된 것은 아니지만, 고객 개인정보에 별다른 제한없이 누구나 접근이 가능하다는 점에서 보안 취약점이 고스란히 드러났다는 게 최 의원실 지적이다.
김씨는 이날 연합뉴스 전화통화에서 "이번 경우(한국파파존스)는 인증과정 없이 웹브라우저 주문번호 주소만으로 (타인 개인정보에) 접근할 수 있어서 굉장히 이례적인 경우로 보인다"고 말했다.
그러면서 "보통은 고객이 로그인해야 주문정보를 보여주고, 로그인하지 않을 경우 정보를 보여주지 않아야 하는데 이런 걸 검수하는 과정 자체가 없었다"고 혀끝을 찼다.
김씨가 지난 21일 개인정보침해 신고센터에 알린 뒤로 사흘이 지난 24일에야 센터 측이 파파존스에 문제를 전한 것이 늑장 대응이라는 지적도 나온다.
네이버 방문한 과방위, 인사말하는 최민희 위원장
(성남=연합뉴스) 김도훈 기자 = 국회 과학기술정보방송통신위원회(과방위) 최민희 위원장이 19일 경기도 성남시 네이버 1784 사옥에서 열린 간담회에서 인사말을 하고 있다.
국회 과방위 소속 여야 의원들은 이날 네이버를 찾아 국내 AI 산업 발전 방안에 대한 논의 및 현장 애로 사항 등을 청취했다. 2025.2.19 [email protected]
(성남=연합뉴스) 김도훈 기자 = 국회 과학기술정보방송통신위원회(과방위) 최민희 위원장이 19일 경기도 성남시 네이버 1784 사옥에서 열린 간담회에서 인사말을 하고 있다.
국회 과방위 소속 여야 의원들은 이날 네이버를 찾아 국내 AI 산업 발전 방안에 대한 논의 및 현장 애로 사항 등을 청취했다. 2025.2.19 [email protected]
김씨와 한국파파존스 측에 따르면 김씨는 21일 오후 8시 40분께 신고센터에 파파존스 개인정보 유출 우려를 전했으나, 센터 측은 24일에야 파파존스에 김씨 신고 내용 등을 전달한 것으로 전해졌다.
한국파파존스 측은 이후 긴급 조치에 나섰고, 하루 뒤인 25일 오후 1시 44분에야 작업을 완료했다.
김씨 신고에서 파파존스 조치 완료 때까지 약 나흘간 URL 변경만으로 4만5천건의 고객 주문·개인정보 조회가 가능했고, 추가 유출 가능성 또한 있다는 게 최 의원실 측 설명이다. KISA가 한걸음 빠른 대응에 나섰어야 한다는 것이다.
최 의원은 이날 연합뉴스에 "사태의 긴급성과 피해 규모를 고려한다면 명백한 늑장 대응으로, 추가 정보유출은 KISA 등의 책임이 아닐 수 없다"며 "KISA 등의 책임을 묻고 재발방지 대책을 보고받을 것"이라고 말했다.
KISA 측은 이런 지적에 "담당자가 주말(21∼22일)에 근무하지 않아 23일 출근해 사실관계를 확인해 파파존스에 연락한 것으로 절차상 문제는 없다"며 "최대한 빨리한다고 했는데 사실관계 파악 등에 시간이 걸렸다"고 해명했다.
[email protected]