한국파파존스 고객정보 유출 사고
마스킹 됐다는 카드번호…통째 유출
피자 프랜차이즈 한국파파존스에서 대규모 고객 개인정보 유출 사고가 발생했다.
2017년 1월부터 최근까지 홈페이지 소스코드 관리 소홀로 인해 고객들의 민감한 개인정보가 온라인상에 노출된 것으로 확인됐다.
이에 개인정보보호위원회가 조사에 착수했으며, 국회에서도 강도 높은 문제 제기가 이어지고 있다.
개인정보 유출 사고 발생과 초기 대응
한국파파존스는 26일 입장문을 통해 “일부 고객 정보가 외부에 노출될 수 있는 보안 취약점을 발견했다”고 공식 발표했다.
회사 측은 초기에 “노출 정보는 고객명과 연락처, 주소 등이며 카드 정보의 경우 카드번호 16자리 중 일부가 마스킹(가림) 처리된 상태로 확인됐다”고 설명했다.
또한 “전날 신고 접수된 건에 대해 즉각 조치했으며 현재 모든 보완 작업을 완료해 운영하고 있다”고 밝혔다.
그러나 국회 과학기술정보방송통신위원회 위원장 최민희 더불어민주당 의원이 확보한 자료에 따르면, 실제 유출된 정보의 범위는 회사가 밝힌 것보다 훨씬 광범위했다.
일부 유출 정보에는 고객의 카드번호 16자리 전체와 카드유효기간은 물론, 생년월일, 공동현관 비밀번호, 이메일 등 추가적인 개인정보가 포함되어 있었다. 이는 한국파파존스가 초기에 발표한 내용과 상당한 차이를 보이는 것이다.
개인정보보호위원회는 즉각적인 조사에 착수했다. 조사의 주요 초점은 구체적인 유출 경위와 피해규모, 기술적·관리적 안전조치 의무 준수 여부 등이다.
특히 개인정보 처리방침에 따른 개인정보 보유·이용 기간을 초과해 주문정보를 보관한 부분에 대해서도 집중적인 조사가 이뤄질 예정이다.
최민희 위원장은 “이번 개인정보 유출을 조사하는 과정에서 이름, 전화번호는 물론 주소와 심지어 공동현관 비밀번호, 카드번호까지 확인되는 걸 보며 소름이 끼칠 정도였음에도 파파존스는 사안을 축소하는데만 치중하고 있다”고 강하게 비판했다.
또한 “피해 확산을 막기 위해 재빨리 알렸음에도 유출 차단까지 이틀이라는 시간이 걸렸고, 카드번호는 유출되지 않았다고 거짓말을 한다”며 엄중한 처벌의 필요성을 강조했다.
이번 한국파파존스의 개인정보 유출 사고는 기업의 개인정보 관리 실태와 초기 대응의 문제점을 여실히 보여주었다.
특히 실제 유출된 정보의 범위가 회사의 초기 발표보다 광범위했다는 점과, 6년이 넘는 기간 동안 보안 취약점이 방치되었다는 점은 심각한 문제로 지적된다.
개인정보보호위원회의 조사 결과와 후속 조치가 주목되는 가운데, 이번 사건을 계기로 기업들의 개인정보 보호 관리 체계에 대한 전반적인 점검과 개선이 필요할 것으로 보인다.
