명품 플랫폼 머스트잇 해킹사고 사과문 발표 하루 만에 또 다시 사고 발생
파파존스 2017년 1월부터 이름 전화번호, 주소 등
개인정보위 "고객정보 유출 규모·보유 기간 초과부분 등 집중 조사"

명품 플랫폼 머스트잇과 피자 프랜차이즈 한국파파존스에서도 고객의 개인정보 유출 사고가 발생했다.

SK텔레콤의 유심 해킹으로 고객 개인정보 불법 유출이 사회적 문제로 부상한 가운데 또 다시 고객 개인정보 유출 사고가 연이어 발생하면서 소비자들의 불안감이 극대화하고 있다.

파파존스는 26일 홈페이지 소스코드 관리 소홀로 2017년 1월부터 이름과 전화번호, 주소 등 고객 주문정보가 온라인상에 노출된 것을 확인하고 전날 오후 개인정보위에 신고했다고 밝혔다.

파파존스는 입장문에서 "일부 고객 정보가 외부에 노출될 수 있는 보안 취약점을 발견했다"며 "노출 정보는 고객명과 연락처, 주소 등이며 카드 정보의 경우 카드번호 16자리 중 일부가 마스킹(가림) 처리된 상태로 확인됐다"고 설명했다.

파파존스는 이어 "관리 소홀로 고객 여러분께 심려 끼쳐드린 점에 대해 무거운 책임감을 느낀다"며 "보다 철저한 개인정보 관리 매뉴얼을 구축하고 보안 시스템을 전면 점검해 유사 사고가 재발하지 않도록 강도 높은 안전성 점검을 시행하겠다"고 덧붙였다.

아울러 "구체적인 피해 발생 여부를 파악하고 확인된 피해가 있다면 신속히 고객에게 안내한 뒤 적절한 보호 조치를 시행하겠다"고 밝혔다.

개인정보위는 이날 파파존스의 개인정보 유출 사고에 대한 조사에 착수했다.
개인정보위는 조사를 통해 구체적인 유출 경위와 피해 규모, 기술적·관리적 안전조치 의무 준수 여부 등을 확인할 방침이다.

또 개인정보 처리방침에 따른 개인정보 보유·이용 기간을 초과해 주문정보를 보관한 부분에 대해서도 면밀히 확인해 법 위반 발견 시 관련 법령에 따라 처분할 예정이다.

파파존스의 개인정보 유출사고가 알려지기 하루 전에는 명품 플랫폼 머스트잇이 고객개인정보 유출사고에 대한 사과문을 발표했다.

머스트잇은 전날인 25일 홈페이지 공지를 통해 "당사는 고객님의 소중한 개인정보 보호를 최우선 가치로 삼고, 철저한 보안 체계를 통해 보호 조치를 운영해왔다"라며 "그럼에도 불구하고 최근 시스템 상의 설계 오류로 인해 개인정보 유출 사고가 발생하였다"고 밝혔다.

머스트잇은 지난 23일 한국인터넷진흥원(KISA)으로부터 개인정보 침해 통보를 받은 뒤 내부 점검을 실시한 결과, 지난 5월 6일부터 14일 사이 특정 API를 대상으로 한 대량의 비정상 접근 시도가 있었고, 6월9일에도 동일 경로를 통한 2차 시도가 확인됐다고 설명했다.

머스트잇은 기존 API를 폐기하고 신원 확인 절차를 거친 사용자만 개인정보를 열람할 수 있도록 하는 신규 인증 시스템을 도입했으며, 해당 구조를 전체 API로 확대 적용 중이다.