사건 개요
- 소프트웨어 개발자 A씨가 파파존스 공식 웹사이트에서 로그인하지 않아도 주문자의 개인정보가 노출되는 문제를 발견
- 주문번호를 임의로 입력하면 타인의 이름, 전화번호, 주소, 결제 카드 정보, 공동 현관 비밀번호까지 확인 가능
- 이 문제는 웹사이트 보안 취약점으로 인해 발생한 것으로 보이며, 파파존스 측은 현재 조사에 협조 중임
피해 규모
- A씨 측 추산에 따르면 노출된 주문 정보는 3,700만 건 이상
- 카드번호와 유효기간 같은 민감 정보도 포함되어 있어 2차 피해 가능성 큼
- 개인정보 처리 방침상 5년 보관 후 폐기돼야 할 정보 중 일부는 8년 이상 보관된 상태였음(예: 2017년 1월 주문 정보)
사건 원인
- 웹사이트에서 기본적인 인증 절차 없이 주문 정보를 불특정 다수가 접근할 수 있는 구조였던 것으로 보임
- 개인정보보호법 제29조 위반 소지가 있으며, 이는 '개인정보 안전성 확보를 위한 기술적·관리적 조치'를 소홀히 한 것으로 해석될 수 있음
- 한국인터넷진흥원(KISA)은 사실관계 조사에 착수
'정보보안 > 사건사고' 카테고리의 다른 글
| 2025.6.24 한국연구재단 ‘온라인논문투고시스템(JAMS)’ 해킹 개인정보 유출 (0) | 2025.06.26 |
|---|---|
| 2025.6.25 약학정보원 개인정보 유출 (0) | 2025.06.26 |
| 2025.6.26 부산사립대 개인정보 도용 허위 지원 수사 (0) | 2025.06.26 |
| 2025.6.13 한국연구재단 논문투고 시스템 해킹. 개인정보 12만건 유출 (0) | 2025.06.13 |
| 2025.6.12 소프트뱅크 위탁업체서 약 14만건 개인정보 유출 (0) | 2025.06.12 |