1년 전 파악했지만…보완 조치는 '허술'

<앵커>

국내 유명 피자 프랜차이즈 웹사이트에서, 고객 정보가 무방비로 노출됐단 사실 얼마 전 전해 드렸습니다. 그런데 저희 취재결과 이 업체는 1년 전에 이미 이런 사실을 알고 보완 조치도 취했습니다만, 사실상 이 조치가 허술했던 걸로 드러났습니다.

김관진 기자가 취재했습니다.

<기자>

이름과 주소, 전화번호는 물론 결제 카드번호와 공동현관 비밀번호까지, 파파존스 웹사이트를 통해 피자 주문 고객의 개인정보가 무방비로 노출되고 있다는 게 SBS 취재 결과 드러났습니다.

[제보자 (소프트웨어 개발자) : 다른 주문 건에 대해서 개인 정보를 확인할 수 있는 상황이고….]

파파존스는 부랴부랴 보안 취약점이 발견됐다며 관계 당국에 신고했고, 재발 방지를 다짐하는 입장문도 냈습니다.

SBS의 추가 취재 결과, 파파존스는 고객정보가 무방비로 노출되고 있다는 사실을 1년 전 이미 인지했습니다.

지난해 7월 외주 보안업체에게 고객정보 노출을 막기 위한 시스템 보완을 주문했던 겁니다.

[A 보안업체 : 저희(보안업체)가 처음에 그 취약점을 (파파존스) 전산팀에서 이런 게 있으니 저희가 이제 수정을 해야 된다, 라고 해서….]

당시에도 이미 고객정보가 외부로 유출됐을 가능성이 있었지만 관계 당국엔 신고하지 않았습니다.

개인정보 유출 등에 대한 신고 의무를 규정한 개인정보보호법 위반 소지가 있는 겁니다.

파파존스와 외주 보안업체 등의 설명을 종합하면, 지난해 7월 시스템 보완 조치를 하고 석 달 뒤 업데이트를 했는데, 이 과정에서 실수로 다시 로그인 없이 고객정보를 아무나 열람할 수 있는 상태로 되돌아갔다고 합니다.

[A 보안업체 : 일단 소스는 저희가 만들었는데요. 데이터베이스에 관련해서는 저희가 관리하지 않아서요.]

최근 샌드위치 프랜차이즈인 써브웨이에서도, 파파존스와 비슷한 유형의 고객정보 노출 사고가 확인됐습니다.

[최민희/국회 과학기술정보방송통신위원장 : 개인정보보호위원회나 KISA(한국인터넷진흥원)가 직접 나서서 플랫폼 사업자에 대하여 일제 점검을 하고 단속에 나서야 할 상황으로….]

고객정보를 대하는 기업들의 안일한 인식이 속속 드러나면서, 보다 강한 제재가 필요하단 목소리도 나오고 있습니다.

(영상취재 : 제  일  공진구, 영상편집 : 안여진)

김관진 기자 spirit@sbs.co.kr