피자 주문하다 카드번호·주소 다 털렸다…파파존스 개인정보 유출 사고

개인정보위 조사 착수
10년 가까이 인지 못해

27일 서울 시내에 파파존스 피자 매장 모습.(사진=연합뉴스)

피자 프랜차이즈 한국파파존스에서 고객 카드번호와 주소 등 개인정보가 노출된 사실이 확인돼 개인정보보호위원회가 조사에 나섰다.

26일 파파존스는 입장문을 내고 “일부 고객 정보가 외부에 노출될 수 있는 보안 취약점을 발견했다”며 “전날(25일) 신고 접수된 건에 대해 즉각 조치했고, 현재는 모든 보완 작업을 완료해 운영하고 있다”고 밝혔다.

문제는 파파존스 개인정보 유출이 무려 2017년부터 이어졌을 수 있다는 점이다. 파파존스에 따르면 2017년 1월부터 고객의 이름과 연락처, 주소 등이 정보가 온라인상에 노출됐다.

이날 오전 회사 측은 카드번호 일부는 가려진 상태라고 설명했지만, 같은 날 오후 카드번호 16자리 전체가 노출됐다고 정정했다.

고객 정보가 무방비로 노출돼 있었지만 회사 측은 이를 10년 가까이 인지하지 못한 것으로 보인다. 파파존스 누적 회원 수는 약 229만3000명이다.

개인정보위는 구체적인 유출 경위와 피해 규모, 기술적·관리적 안전조치 의무 준수 여부 등을 살펴볼 방침이다. 또 개인정보 보유·이용 기간을 초과해 주문 정보를 보관한 부분에 대해서도 집중 점검해 법 위반 확인 시 관련 법령에 따라 처분할 예정이다.

이날 명품 플랫폼 머스트잇도 개인정보 유출 사실을 알렸다. 머스트잇은 홈페이지를 통해 “23일 한국인터넷진흥원(KISA) 통해 개인정보 침해 정황을 통보받았다”며 “5월 6~14일, 6월 9일 두 차례 비정상 접근 시도가 있었다”고 밝혔다. 해당 인터페이스(API)는 별도 인증 없이 개인정보 일부를 조회할 수 있는 구조였던 것으로 알려졌다. 사측은 사고 인지 즉시 해당 취약점을 차단하고 전면적인 보안 조치를 완료했다고 설명했다.

유출 가능성이 있는 정보는 회원번호·아이디·가입일·이름·생년월일·성별·전화번호·e메일·주소 등 최대 9개 항목이다. 머스트잇은 2차 피해를 막기 위해 “관련 계정의 비밀번호 변경을 권장한다”며 “보이스피싱·스미싱 등 의심스러운 전화나 문자에 각별히 주의하라”고 밝혔다.

한편 온라인 플랫폼의 잇따른 개인정보 유출에 이용자 불안도 커지고 있다. 앞서 명품 브랜드 티파니·디올·까르띠에를 비롯해 온라인서점 예스24에서도 개인정보 유출과 해킹 사건이 발생했다. 특히 예스24는 이달 초 랜섬웨어 공격으로 받아 약 열흘간 도서 주문과 티켓 예매가 중단됐다.