고객 정보 유출 문제로 개인정보보호위원회의 조사가 시작된 피자 프랜차이즈 한국파파존스에서 최근 약 9년간 3732만건의 고객 정보가 유출됐을 가능성이 있다는 추정이 나왔다.

27일 국회 과학기술정보방송통신위원회 위원장인 최민희 더불어민주당 의원실 등에 따르면 한국파파존스 고객은 홈페이지에서 피자 등 음식을 주문할 경우 주문조회 페이지에서 자신이 시킨 음식의 조리·배달 상황을 확인할 수 있다.

통상 고객은 홈페이지에 로그인한 상태에서 주문정보를 조회할 수 있다.

IT업계 종사자인 30대 김모 씨는 지난 21일 오후 한국파파존스 홈페이지에서 피자를 주문한 뒤 음식 조리·배달 상태를 확인하다 놀라운 사실을 발견했다.

주문상태를 확인할 수 있는 웹페이지의 주소창에서 URL(인터넷 주소) 끝자리의 숫자 9개 중 일부를 바꿔봤더니 다른 고객의 주문·개인정보가 나타난 것이다.

이들 정보에는 이름과 연락처, 주소 등 기본 정보는 물론 이메일, 생년월일, 카드번호, 카드 유효기간, 카드전표, 공동 현관 비밀번호, 적립포인트 등 최대 10가지가 넘는 개인정보가 포함돼 있었다.

김 씨는 주소창의 URL 끝자리 숫자 9개를 다른 숫자로도 변경해봤고, 그때마다 다른 고객의 주문·개인정보가 나타나는 일이 반복되는 것을 확인했다.

김 씨는 파파존스 홈페이지에서 개인정보가 쉽게 유출될 수 있을 것을 우려해 당일 한국인터넷진흥원(KISA) 개인정보침해 신고센터에 이를 알렸다,

이런 사실을 접한 최민희 의원실은 김 씨와 함께 한국파파존스 홈페이지에서 그간 얼마나 많은 고객 정보가 유출됐던 것인지 자체 파악에 나섰다.

조사결과 2017년 1월 1일부터 최근까지 주문자 수 기준으로 모두 약 3732만 건의 고객정보가 유출됐을 가능성이 있는 것으로 최 의원실은 추정했다.

고의적인 해킹 공격을 통해 고객 개인정보가 외부로 유출된 것은 아니지만, 고객 개인정보에 별다른 제한없이 누구나 접근이 가능하다는 점에서 보안 취약점이 고스란히 드러났다는 게 최 의원실 지적이다.

김 씨는 이날 국내 매체와의 전화통화에서 “이번 경우(한국파파존스)는 인증과정 없이 웹브라우저 주문번호 주소만으로 (타인 개인정보에) 접근할 수 있어서 굉장히 이례적인 경우로 보인다”고 말했다.

그러면서 “보통은 고객이 로그인해야 주문정보를 보여주고, 로그인하지 않을 경우 정보를 보여주지 않아야 하는데 이런 걸 검수하는 과정 자체가 없었다”고 혀끝을 찼다.

김 씨가 지난 21일 개인정보침해 신고센터에 알린 뒤로 사흘이 지난 24일에야 센터 측이 파파존스에 문제를 전한 것이 늑장 대응이라는 지적도 나온다.

김 씨와 한국파파존스 측에 따르면 김 씨는 21일 오후 8시 40분께 신고센터에 파파존스 개인정보 유출 우려를 전했으나, 센터 측은 24일에야 파파존스에 김 씨 신고 내용 등을 전달한 것으로 전해졌다.

한국파파존스 측은 이후 긴급 조치에 나섰고, 하루 뒤인 25일 오후 1시 44분에야 작업을 완료했다.

김 씨 신고에서 파파존스 조치 완료 때까지 약 나흘간 URL 변경만으로 4만5천건의 고객 주문·개인정보 조회가 가능했고, 추가 유출 가능성 또한 있다는 게 최 의원실 측 설명이다. KISA가 한걸음 빠른 대응에 나섰어야 한다는 것이다.

https://v.daum.net/v/20250627200300379