국회 과학기술정보방송통신위원회 최민희 의원장(더불어민주당, 남양주갑)은 27일 "파파존스 웹사이트의 구조적 보안 결함으로 인해 약 3,730만 건의 개인정보가 유출된 것으로 확인됐다"고 밝혔다.
최민희 위원장실에 접수된 제보에 따르면 , 파파존스 피자 주문 페이지의 URL 구조에서 'order ID' 항목에 임의의 9 자리 숫자를 입력하면 그 번호에 해당하는 타인의 이름 , 주소 , 전화번호 , 카드번호 , 공동현관 비밀번호 등이 그대로 노출되는 심각한 보안 결함이 존재했다 . 실제 유출은 2017년 1월부터 2025년 6월 24일까지 8년 6개월간 지속된 것으로 파악됐다.
피해 사실은 제보자가 지난 21일 한국인터넷진흥원(KISA) 개인정보침해센터에 최초 신고했고, 이어 23일 파파존스 고객센터에도 동일한 내용을 접수했다. 같은 날 최민희 의원실에도 전달됐다. 이후 최 의원실이 KISA와 파파존스에 신속한 조치를 요청했지만, 웹사이트 보안 조치는 6월 25일 오전에야 이뤄졌다. 약 5일간의 대응 지연으로 인해 이 기간 생성된 4만 5,296건의 주문 정보도 추가로 유출된 것으로 드러났다.
개인정보보호위원회 역시 6월 26일 오후가 되어서야 해당 사건의 조사관을 배정하고 제보자에게 이를 통보했다. 최민희 의원은 이같은 일련의 조치가 "사태의 긴급성과 피해 규모를 고려할 때 명백한 늑장 대응"이라고 지적했다.
또한 개인정보보호법상 전자금융정보는 최대 5년간 보관 후 즉시 파기해야 함에도 불구하고, 파파존스는 8년치 주문 정보를 계속 보관해 법령 위반 소지가 짙다는 지적도 나온다.
보안 전문가인 김승주 고려대 정보보호대학원 교수는 "기업에서 이 정도로 기본적인 보안조차 마련되지 않은 기업은 처음"이라며, "이는 개인정보보호법 제29조의 안전조치 의무 위반 소지가 크다"고 지적했다.
최민희 의원은 "파파존스는 3,730만 건에 달하는 대규모 개인정보를 유출해 국민을 위험에 빠뜨리고도 거짓 해명으로 사태를 은폐하려 했다"며 "정부기관 역시 심각성을 인지하지 못하고 늑장 대응으로 피해를 키웠다"고 질타했다. 이어 "파파존스는 개인정보보호위원회 조사에 성실히 응하고, 피해 보상과 재발 방지책을 조속히 마련해야 할 것"이라고 강조했다.
김영식 경인본부 기자 ilyo22@ilyo.co.kr
