[단독] 카드번호·현관 비밀번호 줄줄…파파존스 무슨 일

<앵커>

한 유명 피자 프랜차이즈의 공식 웹사이트에서 고객들 개인 정보가 무방비로 노출됐던 사실이 뒤늦게 확인됐습니다. 다른 사람의 이름과 주소, 신용카드 번호뿐 아니라 공동 현관의 비밀번호까지 알 수 있는 상태였습니다.

김관진 기자가 단독 취재했습니다.

<기자>

소프트웨어 개발자인 A 씨는 평소 배달 주문을 자주 하던 파파존스 웹사이트를 들여다보다 두 눈을 의심했습니다.

[제보자/소프트웨어 개발자 : (웹사이트) 정보를 어디서 불러오는지 확인을 해봤는데, 로그인하지 않은 상태에서도 주문한 정보가 다 노출이 되는 거예요.]

자신의 이름과 전화번호, 배달 주소가 적혀 있었는데, 9자리 숫자로 이뤄진 주문번호를 임의로 바꿔 입력했더니 다른 사람의 주문 정보가 고스란히 나왔습니다.

[제보자/소프트웨어 개발자 : 아무런 숫자나 넣으면 이렇게 다른 사람이 주문한 정보도 표출됩니다.]

취재진이 제보자와 함께 직접 확인해 본 결과, 주문자가 결제한 카드번호와 유효 기간, 심지어 공동 현관 비밀번호까지 마음만 먹으면 알 수 있는 상태였습니다.

파파존스는 개인정보 처리 방침에 거래 정보를 5년간 보관한다고 밝혔는데, 3년 전에 폐기됐어야 할 2017년 1월 주문 정보까지 남아 있었습니다.

제보자 측은 3천700만 건이 넘는 주문 정보가 노출된 것으로 파악됐다고 밝혔습니다.

이런 허술한 개인정보 관리는 '개인정보 안전성 확보에 필요한 기술적 조치를 해야 한다는 개인정보보호법 29조 위반 소지도 있습니다.

[최민희/국회 과학기술정보방송통신위원장 : 개인정보보호위원회는 지금 이 상황에서 혹시 누군가 개인정보를 유출 시켰는지 그 로그인 기록, 로그 기록을 확인해야 될 것 같습니다.]

파파존스 측은 SBS 취재가 시작되자 뒤늦게 로그인을 해야만 본인 주문 정보만 확인할 수 있도록 조치했습니다.

신고를 받은 한국인터넷진흥원은 구체적인 사실관계 파악에 나섰고, 파파존스 측은 조사에 협조하겠다고 밝혔습니다.

(영상취재 : 전경배·김태훈·이상학·김한결, 영상편집 : 안여진)

김관진 기자 spirit@sbs.co.kr