전화번호·카드번호·공동현관 비번까지 ‘줄줄’ 새
“카드 번호 일부 마스킹” 파파존스 거짓해명 논란
KISA· 파파존스 늑장대응에 4만 5000건 추가 유출

피자 프랜차이즈 한국파파존스가 8년 6개월간 고객들의 민감한 개인정보를 대규모로 유출시킨 것으로 드러났다. 유출된 건수만 3700만 건이 넘는다. 이름, 연락처, 주소, 이메일, 생년월일을 비롯해 카드번호 16자리와 공동현관 비밀번호 등 민감한 개인정보까지 무방비 상태로 유출됐다.

파파존스에서 유출된 고객 개인정보는 파파존스의 해명보다 광범위한 것으로 드러나 거짓해명 논란으로까지 번지고 있다.

국회 과학기술정보방송통신위원회 최민희 위원장(더불어민주당)은 피자업체 파파존스 고객의 개인정보가 8년간 무방비 상태로 유출되고 있었던 것을 확인했다고 27일 밝혔다.

최민희 위원장이 제보를 통해 확인한 바에 따르면, 파파존스 고객의 개인정보 유출은 2017년 1월 1일부터 2025년 6월 24일까지 총 8년 6개월간 이어졌으며, 유출된 건수는 3730만 건에 달한다. 유출된 개인정보에는 이름, 연락처, 주소, 이메일, 생년월일은 물론이고 카드번호 전부(16자리 ) 및 유효기간, 카드 전표, 공동현관 비밀번호 등 2 차 범죄로 직결될 수 있는 고위험 정보가 포함돼 있었다. 단순한 정보 유출을 넘어 스미싱, 절도, 스토킹 등으로의 악용 가능성이 매우 높은 민감 정보인 셈이다.

최 위원장실은 제보 확인 뒤 파파존스에 해당 사실을 알렸지만, 정보유출이 차단되는데는 이틀이 걸렸다. 이 과정에서 한국인터넷진흥원(KISA)에도 신고가 이뤄졌지만 KISA 역시 늑장대응했다.

지난 23일 최 위원장실에 접수된 제보에 따르면 , 파파존스 피자 주문 페이지의 URL 구조에서 ‘주문 ID(order ID)’ 항목에 임의의 9자리 숫자를 입력하면 그 번호에 해당하는 타인의 이름, 주소, 전화번호, 카드번호, 공동현관 비밀번호 등이 그대로 노출되는 심각한 보안 결함이 존재했다.

최민희 위원장실은 이 사실을 확인한 즉시 KISA와 정보를 공유하고, 추가적인 피해를 막기 위해 사이트 접근 차단을 긴급 요청했다.

앞서 한국파파존스는 전날 홈페이지를 통해 “노출된 정보는 고객명, 연락처, 주소 등이며, 카드정보는 카드번호 16자리 중 일부가 마스킹(Masking, 가림처리) 상태였다. 결제에 필요한 카드 유효기간 및 CVC 번호는 노출되지 않은 것으로 확인됐다”고 해명했지만, 이는 사실과 다르다.

최 위원장실이 유출된 정보를 분석한 결과 일부 주문 정보에서는 카드번호 16 자리가 전부 노출된 카드전표까지 확인됐다. 또한 제보자가 지난 23일 오전에 고객센터에 정보 유출 사실을 알렸지만, 사이트 보완은 이틀이 지난 25일 오전에야 완료돼 이틀간 추가 피해가 발생할 위험성도 존재했다.

이번 사태에는 최대 5년간만 보관해야 할 주문정보를 8년 이상 보관했다는 점에서도 개인정보처리방침을 명백히 위반했다는 문제점이 있다 . 파파존스의 개인정보처리방침에 따르면, 전자금융거래에 따른 정보는 최대 5년간 보관하도록 규정돼 있다.

사후 대응 미흡으로 개인정보 약 4만 5000건이 추가로 유출된 사실도 드러났다.

최 위원장은 “파파존스는 3730만 건에 달하는 개인정보를 유출시켜 수많은 국민을 위험에 노출시킨 것도 모자라 , 거짓 해명으로 사태를 은폐하려 했다”며 “파파존스는 개인정보위원회 조사에 성실히 협조하고, 진심 어린 사과와 피해 보상, 재발 방지 대책을 마련해야 할 것”이라고 촉구했다.

이에 한국파파존스 관계자는 “초기 과정에서 확인했을 때는 그렇게(해명 내용 대로) 확인이 됐는데, 추가적인 확인 과정에서 일부 추가 노출이 있는 게 확인됐다”면서 “전사적으로 처음부터 다시한번 점검하고 있다”고 설명했다.

한국파파존스는 홈페이지 소스코드 관리 소홀로 2017년 1월부터 이름, 전화번호, 주소 등 고객 주문정보가 온라인 상에 노출됐다고 지난 25일 개인정보위원회에 신고했다. 개인정보위는 구체적인 유출 경위 및 피해규모, 안전조치 의무 준수 여부 등을 확인하고, 법 위반 발견 시 관련 법령에 따라 처분할 예정이다.

송현수 기자 songh@busan.com