○ 발생 일시 : 2025년 6월 25일
○ 발생 경로 : 파파존스 공식 웹사이트의 보안 취약점
○ 발견 과정 : 소프트웨어 개발자 A씨가 주문번호를 임의 변경 시 타인 정보 노출 확인 후 SBS에 제보.
○ 성격 : 해킹이 아닌 시스템 설계 결함(인증 없이 주문번호만으로 데이터 접근 가능)
2. 유출 규모 및 정보
○ 피해 건수 : 3,700만 건 이상의 주문 정보
○ 유출 항목
- 기본 정보: 이름, 전화번호, 배달 주소
- 결제 정보: 신용카드 번호, 유효기간
- 배송 정보: 공동현관 비밀번호
- 과거 주문 내역(2017년 데이터 포함).
3. 유출원인
○ 보안 설계 미흡
- 로그인 없이도 주문번호(9자리 순차 숫자)로 타인 정보 조회 가능.
- 데이터 암호화 및 접근 제어 부재.
○ 법적 위반: 개인정보보호법 29조(기술적 조치 의무) 위반 소지.
○ 데이터 관리 소홀 : 5년 보관 정책 미준수(3년 전 데이터도 노출).
4. 대응 및 문제점
○ 즉시 조치 : 언론 보도 후 로그인 필수화.
○ 정부 조사: 한국인터넷진흥원(KISA)이 사실관계 파악 중.
○ 문제점
- 보안 취약점 장기간 방치.
- 유출 사실 은폐 의혹(초기 "시스템 점검"으로만 발표).
- 고객 통보 및 보상 지연.
5. 피해 영향 및 우려
○ 2차 피해 가능성
- 신용카드 도용, 금융사기, 주거침입 등.
○ 브랜드 신뢰 하락 : 과거 가맹사업법 위반(2024년 과징금 14억 원) 전력과 중복.
6. 향후 전망
○ 법적 책임 : 개인정보보호위원회의 조사 및 과태료 부과 가능성.
○ 시스템 개선 : 암호화 강화, 접근 제어 도입 필요.
○ 고객 보상 : 현재 120% 환불
등 조치 진행 중이지만 피해자 불만 지속.
마무리하며
이번 사고는 단순 기술적 결함을 넘어 기업의 보안 인식 부재와 개인정보 관리 태만을 드러낸 전형적인 사례입니다.
특히 신용카드 번호와 현관 비밀번호 등 고위험 정보가 무방비로 노출되며 2차 피해 우려가 큽니다.
파파존스는 신속한 피해 복구와 더불어 재발 방지를 위한 근본적인 보안 체계 개선이 시급합니다.