[뉴스스페이스=김희선 기자] 피자 프랜차이즈 한국파파존스에서 2017년부터 최근까지 약 3700만건에 달하는 고객 개인정보가 무방비로 노출된 사실이 드러나면서, 국내외 개인정보보호 체계에 심각한 경종을 울리고 있다.

이번 사고는 단순 해킹이 아닌, 기본적인 웹사이트 설계·관리 부실로 인한 대규모 정보 유출이라는 점에서 충격을 더하고 있다.

9년간 ‘URL만 바꾸면’ 남의 정보가 줄줄이

사건의 발단은 지난 6월 21일, 한 IT업계 종사자가 파파존스 홈페이지에서 피자를 주문한 뒤, 주문확인 페이지의 URL(인터넷 주소) 끝자리 숫자 9개 중 일부를 임의로 바꿔봤더니 타인의 이름, 연락처, 주소, 이메일, 생년월일, 카드번호 일부, 공동현관 비밀번호 등 민감한 개인정보가 그대로 노출된 것을 발견하면서 시작됐다.

이 취약점은 로그인 등 인증 절차 없이도 누구나 접근할 수 있었던 것으로 드러났다.

이 사실이 국회 과학기술정보방송통신위원회 최민희 위원실에 전달되면서, 자체 조사 결과 2017년 1월 1일부터 최근까지 주문자 수 기준 약 3732만건의 고객정보가 유출됐을 가능성이 있다는 추정이 나왔다. 이는 국내 개인정보 유출 사고 중에서도 손꼽히는 대형 사고다.

파파존스 “즉각 조치”…그러나 10년 가까이 방치

파파존스 측은 6월 25일 유출 신고 직후 즉각적인 보완 조치에 들어가 26일 시스템 점검을 완료했다고 밝혔다. 회사는 “고객명, 연락처, 주소 등 일부 정보가 노출됐으나, 카드번호는 일부 마스킹 처리된 상태였다”고 해명했으나, 실제로는 카드번호 전체와 유효기간까지 노출된 정황도 확인됐다.

파파존스는 “보다 철저한 개인정보 관리 매뉴얼을 구축하고, 보안 시스템을 전면 점검해 재발 방지에 나서겠다”고 밝혔다.

개인정보위·KISA, 늑장 대응 논란

한국인터넷진흥원(KISA)과 개인정보보호위원회(개인정보위)는 신고 접수 후 공식 조사에 착수했다. 개인정보위는 유출 경위, 피해 규모, 기술적·관리적 보호조치 이행 여부, 개인정보 보유기간 준수 여부 등을 집중 조사 중이다. 특히, 주문정보를 방침상 보유기간을 초과해 장기간 저장한 점에 대해서도 법 위반 여부를 따질 예정이다.

하지만 신고 접수 후 실제 조치까지 약 나흘이 소요되면서, 그 사이 약 4만5000건의 개인정보가 추가로 노출될 수 있었다는 지적이 나왔다.

최민희 위원장은 “사태의 긴급성과 피해 규모를 고려하면 명백한 늑장 대응”이라며 KISA와 관련 기관의 책임을 강하게 비판했다.

해킹 아닌 ‘관리 부실’…국내외 유사 사고와 시사점

이번 사고는 해킹 등 외부 공격이 아니라, 기본적인 웹사이트 설계와 소스코드 관리 미흡에서 비롯된 ‘관리 부실’로 인한 대규모 유출이라는 점에서 더욱 심각하다.

글로벌에서도 마이크로소프트, 페이스북, 토코페디아 등 대형 기업들이 데이터베이스 접근제어 실패나 URL 관리 부실로 대규모 개인정보 유출을 겪은 바 있다. 전문가들은 “관리자 페이지 접근 제한, URL 주소 관리 등 기본적인 보안조치가 필수”라고 지적한다.

파파존스 사태는 국내 개인정보보호 체계의 허술함과, 대형 프랜차이즈조차 기본 보안이 무너질 수 있음을 보여준다. 개인정보위는 법 위반 사실이 확인될 경우 강력한 처분을 예고했다.

이번 사고를 계기로 국내외 모든 온라인 서비스 사업자들은 개인정보 보안 시스템을 근본적으로 재점검해야 할 것으로 보인다.