최민희 의원실 자체 조사
"신고 후 늑장 대응" 지적도
[파이낸셜뉴스] 고객 정보가 유출돼 개인정보보호위원회의 조사가 시작된 피자 프랜차이즈 한국파파존스에서 최근 약 9년간 3732만건의 고객 정보가 유출됐을 가능성이 있다는 주장이 나왔다.
27일 최민희 더불어민주당 의원실이 조사한 결과 2017년부터 최근까지 주문자 수 기준 3732건의 고객 정보가 유출됐을 가능성이 있다고 설명했다.
한국파파존스 홈페이지에서 고객들의 주문·개인정보를 확인할 수 있다는 사실을 바탕으로 고객 정보 유출 규모를 자체 파악한 결과다.
앞서 한 IT 업계 종사자는 자신이 주문한 음식 조리·배달 상태를 확인하다가 홈페이지의 이같은 허점을 확인했다.
주문 상태를 확인할 수 있는 웹페이지의 주소창에서 인터넷주소(URL) 끝자리의 숫자 9개 중 일부 숫자를 바꾸면 다른 고객의 주문·개인정보가 나타났다. 여기에는 이름과 연락처, 주소 등 기본 정보와 이메일, 생년월일, 카드번호, 카드 유효기간, 카드전표, 공동 현관 비밀번호, 적립포인트 등 10가지가 넘는 개인정보가 확인됐다.
숫자 9개를 다른 숫자로 변경하면 또 다른 고객의 주문·개인정보도 확인됐다.
A씨는 이같은 사실을 한국인터넷진흥원(KISA) 개인정보침해 신고센터에 알렸다.
고의적인 해킹 공격을 통해 고객 개인정보가 외부로 유출된 것은 아니었다. 다만 고객 개인정보에 누구나 접근이 가능한 보안 취약점이 드러났다는 게 최 의원실 지적이다.
김씨가 지난 신고센터에 알린 지 사흘이 지난 24일에야 센터 측이 파파존스에 문제를 전해 늑장 대응이라는 지적도 나온다. 한국파파존스 측은 개인정보 유출 우려를 전달받은 하루 만에 긴급조치를 완료했다.
A씨 신고 이후 조치가 완료될 때까지 약 나흘간 URL 변경만으로 4만5000건의 고객 주문·개인정보 조회가 가능했고, 추가 유출 가능성이 있다는 게 의원실의 지적이다.
unsaid@fnnews.com 강명연 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지