사건 개요
- 소프트웨어 개발자 A씨가 파파존스 공식 웹사이트에서 로그인하지 않아도 주문자의 개인정보가 노출되는 문제를 발견
- 주문번호를 임의로 입력하면 타인의 이름, 전화번호, 주소, 이메일, 결제 카드 정보, 공동 현관 비밀번호까지 확인 가능
- 이 문제는 웹사이트 보안 취약점으로 인해 발생한 것으로 보이며, 파파존스 측은 현재 조사에 협조 중임
피해 규모
- 분석 결과에 따르면 유출은 2017년 1월 1일부터 2025년 6월 24일까지 총 8년 6개월간 이어졌으며, 유출된 건수는 3,730만 건
- 유출된 개인정보에는 이름, 연락처, 주소, 이메일, 생년월일은 물론이고 카드번호 전부(16자리), 유효기간, 카드 전표 등 2차 범죄로 직결될 수 있는 고위험 정보가 포함
- 피자를 주문하면서 남긴 메모에서는 공동현관 비밀번호까지 확인
- 개인정보 처리 방침상 5년 보관 후 폐기돼야 할 정보 중 일부는 8년 이상 보관된 상태였음(예: 2017년 1월 주문 정보)
- 사후 대응의 미흡함으로 인해 유출을 막을 수 있었던 개인정보 약 4만 5천 건이 추가로 유출된 사실도 드러남
사건 원인
- 웹사이트에서 기본적인 인증 절차 없이 주문 정보를 불특정 다수가 접근할 수 있는 구조였던 것으로 보임
- 파파존스 피자 주문 페이지의 URL 구조에서 ‘order ID’ 항목에 임의의 9자리 숫자를 입력하면 그 번호에 해당하는 타인의 이름, 주소, 전화번호, 카드번호, 공동현관 비밀번호 등이 그대로 노출되는 심각한 보안 결함이 존재
- 제보자는 이미 6월 21일 20시경 KISA 개인정보침해센터에 이 사실을 신고하고, 6월 23일 11시경에는 파파존스 고객센터에도 동일 내용을 접수
- 파파존스의 보안 조치는 6월 25일 오전에서야 완료. 총 5일이 지체된 것이다. 그 사이에 새로 생성된 주문정보 45,296건이 그대로 유출. 개인정보보호위원회의 담당 조사관 배정은 6월 26일 오후 4시 25분에서야 완료.
- 개인정보보호법 제29조 위반 소지가 있으며, 이는 '개인정보 안전성 확보를 위한 기술적·관리적 조치'를 소홀히 한 것으로 해석될 수 있음
- 한국인터넷진흥원(KISA)은 사실관계 조사에 착수
'정보보안 > 사건사고' 카테고리의 다른 글
| 2025.7.02 국제형사재판소(ICC)에 대한 사이버 공격 (1) | 2025.07.02 |
|---|---|
| 2025.7.02 채점 부업 알바를 미끼로 한 개인정보 탈취 및 휴대폰 명의 도용 사건 (1) | 2025.07.02 |
| 2025.6.27 명품 플랫폼 '머스트잇 MustIt' 개인정보유 (0) | 2025.06.27 |
| 파라과이 전 국민 개인정보 유출 (1) | 2025.06.26 |
| 2025.6.15 애플·구글 등 160억건 로그인 정보 유출 (암호화폐 위협) (1) | 2025.06.26 |