머스트잇 이어 파파존스도 해킹… 사고발생 8년 만에 인지

카드번호·공동현관 비번 포함
개인정보 폐기 방침 등 어겨

해외 수입 브랜드에 이어 피자 프랜차이즈 한국파파존스와 해외 고가 브랜드(명품) 전문 패션 플랫폼 머스트잇에서도 개인정보 유출 정황이 잇따라 확인돼 파장이 커지고 있다. 특히 이들 회사가 고객 개인정보를 다루는 과정에서 규정된 폐기 방침을 어기거나 주요 시스템을 허술하게 운용해온 정황도 드러나 논란이 일고 있다.

27일 업계에 따르면 파파존스는 홈페이지 소스코드 관리 소홀로 2017년 1월부터 고객 주문 정보가 온라인상에 노출돼 있었으나 8년여가 지난 25일에야 이를 인지했다. 파파존스는 개인정보처리방침에 거래정보를 5년간 보관한다고 고지했으나 이를 어긴 셈이다. 특히 온라인 홈페이지 운영을 시작한 2010년부터 현재까지 누적 고객 수가 229만3000명에 달했으나, 고객 정보 등을 다루는 전산팀 직원은 3명에 불과했던 것으로 알려졌다.

파파존스 관계자는 “이번 사태가 저희의 역량과 실력 부족에서 비롯된 문제임을 인정하며, 이에 대해 깊이 반성하고 있다”며 “부족한 정보보안 전문 인력 등을 확충하는 방안을 내부에서 검토 중에 있다”고 해명했다.

이어 유출된 카드번호가 마스킹(가림막) 처리돼 있다고 해명한 것과 달리, 카드번호 16자리와 유효기간이 노출된 사례가 발견된 데 대해서도 사과를 표했다. 파파존스 측은 “초기 조사 과정에서는 인지하지 못했으나, 계속 점검을 이어가던 중 해당 문제를 확인했다”며 “결코 고의적인 상황이 아니며, 앞으로도 모든 사실을 투명하게 공개하겠다”고 했다. 다만 구체적인 유출 경위와 피해 규모에 대해선 관련 조사가 진행 중이라며 말을 아꼈다.

파파존스는 지난 25일 유출 정황을 파악해 개인정보보호위원회에 신고했으며, 이후 정부 산하 유관 기관과 협의해 유출 사고에 대해 적절히 조치해 나간다는 방침이다. 앞서 유출된 정보로는 △생년월일 △주소 △공동현관 비밀번호 △이메일 등이 포함됐던 것으로 확인됐다.

지난 23일 명품 플랫폼 머스트잇에서도 고객 개인정보 유출 사고가 확인됐다.

노유정 기자