“숫자만 바꿔도 고객 정보가”…한국파파존스, 고객정보 3천700만건 유출 가능성

개인정보보호위원회, 경위 및 피해규모 조사 착수
주소(URL) 끝자리 숫자 바꾸면 타인 정보 노출

‘고객정보 유출’ 문제로 개인정보보호위원회의 조사를 받는 피자 프랜차이즈 한국파파존스에서 최근 9년간 최대 3천732만 건의 고객 정보가 유출됐을 가능성이 제기됐다.

28일 국회 과학기술정보방송통신위원회 위원장인 최민희 더불어민주당 의원실 등에 따르면 한국파파존스 고객은 홈페이지에서 피자 등 음식을 주문할 경우 주문조회 페이지를 통해 자신이 주문한 음식의 조리·배달 현황을 확인할 수 있다.

보통 고객은 홈페이지에 로그인한 상태에서 해당 정보를 조회할 수 있다. 그런데 주소(URL)의 끝자리 숫자를 바꾸자 타인의 주문 정보와 개인정보가 그대로 노출된다는 사실이 밝혀졌다.

30대 직장인 김모 씨는 지난 21일 오후 한국 파파존스 홈페이지에서 피자를 주문한 뒤 조리 및 배달 상황을 확인하려다 놀라운 사실을 발견했다. 인터넷 주소창의 URL 끝자리에 있는 숫자 9자리 중 일부를 임의로 바꾸자, 다른 고객의 주문정보와 개인정보가 노출된 것이다.

해당 정보에는 이름, 연락처, 주소는 물론 이메일, 생년월일, 카드번호, 카드 유효기간, 공동현관 비밀번호, 적립 포인트 등 최대 10가지가 넘는 개인정보가 포함돼 있었다. 김씨는 URL의 끝자리를 여러 숫자로 바꿔가며 확인했고, 그때마다 다른 고객의 정보가 노출되는 것을 반복적으로 확인했다.

이에 김씨는 개인 정보 유출 우려에 당일 한국인터넷진흥원(KISA) 개인정보침해신고센터에 이를 알렸다.

아울러 이를 접한 최 의원실은 김씨와 함께 한국 파파존스 홈페이지에서 그동안 얼마나 많은 고객 정보가 유출됐는지 자체 파악에 나섰다.

최 의원실의 조사 결과에 따르면 지난 2017년 1월 1일부터 최근까지의 주문자 수를 기준으로 했을 때, 약 3천732만 건의 고객 정보가 유출됐을 가능성이 있는 것으로 추정된다.

해킹 공격은 아니지만 누구나 타인의 주문 내역과 개인정보에 접근할 수 있었던 점에서 중대한 보안 취약점이 있었다는 지적이다.

연합뉴스에 따르면 김씨는 “이번 경우(한국파파존스)는 인증과정 없이 웹브라우저 주문번호 주소만으로 (타인 개인정보에) 접근할 수 있어서 굉장히 이례적인 경우로 보인다”고 전했다.

이어 “보통은 고객이 로그인해야 주문정보를 보여주고, 로그인하지 않을 경우 정보를 보여주지 않아야 하는데 이런 걸 검수하는 과정 자체가 없었다”고 짚었다.

한편 김씨가 지난 21일 개인정보침해신고센터에 문제를 신고한 뒤 파파존스 측에 관련 내용이 전달되기까지 사흘이 걸리면서, 센터의 대응이 늦었다는 지적도 제기됐다.

김씨와 파파존스 측에 따르면, 김 씨는 지난 21일 오후 8시 40분경 파파존스의 개인정보 유출 우려를 신고했다. 다만 개인정보침해신고센터가 해당 내용을 파파존스 측에 전달한 것은 24일인 것으로 알려졌다.

이후 한국 파파존스는 긴급 조치에 나서 25일 오후 1시 44분경 관련 작업을 완료했다.

최 의원실은 “파파존스가 조치를 마치기까지 약 나흘간 URL 변경만으로 4만5천 건의 주문 및 개인정보 열람이 가능했다”며 “KISA는 보다 신속하게 대응했어야 했다”고 밝혔다.

이후 개인정보보호위원회는 지난 26일 한국파파존스의 구체적인 유출 경위 및 피해규모, 안전조치 의무 준수 여부 등 조사에 착수했다고 밝혔다. 같은 날 한국파파존스는 홈페이지 공지사항에서 “현재까지 언론에서 언급된 바와 같이 고객 정보가 외부로 유출된 사실은 확인되지 않았다”며 “정부 산하 유관 기관과 협력해 정보 노출 범위와 원인에 대해 조사하고 있다”고 밝혔다.