2025.6.26 파파존스 웹사이트에 주문자 카드번호·현관 비번 노출

 

사건 개요

• 소프트웨어 개발자 A씨가 파파존스 공식 웹사이트에서 로그인하지 않아도 주문자의 개인정보가 노출되는 문제를 발견
• 주문번호를 임의로 입력하면 타인의 이름, 전화번호, 주소, 결제 카드 정보, 공동 현관 비밀번호까지 확인 가능
• 이 문제는 웹사이트 보안 취약점으로 인해 발생한 것으로 보이며, 파파존스 측은 현재 조사에 협조 중임

 

피해 규모

• A씨 측 추산에 따르면 노출된 주문 정보는 3,700만 건 이상
• 카드번호와 유효기간 같은 민감 정보도 포함되어 있어 2차 피해 가능성 큼
• 개인정보 처리 방침상 5년 보관 후 폐기돼야 할 정보 중 일부는 8년 이상 보관된 상태였음(예: 2017년 1월 주문 정보)

 

사건 원인

• 웹사이트에서 기본적인 인증 절차 없이 주문 정보를 불특정 다수가 접근할 수 있는 구조였던 것으로 보임
• 개인정보보호법 제29조 위반 소지가 있으며, 이는 '개인정보 안전성 확보를 위한 기술적·관리적 조치'를 소홀히 한 것으로 해석될 수 있음
• 한국인터넷진흥원(KISA)은 사실관계 조사에 착수