230만 명 정보 싹 털리더니 “심지어 거짓말까지”… 인기 프랜차이즈의 배신에 ‘기막혀’

카드번호까지 노출된 고객 정보
파파존스, 공식 발표와 다른 정황
개인정보위, 법 위반 여부 조사 착수
파파존스
사진 = 연합뉴스

고객 카드번호 16자리와 유효기간까지 외부에 노출됐지만, 해당 프랜차이즈 업체는 “일부는 가려져 있었다”고 설명했다.

국내 프랜차이즈 기업 ‘한국파파존스’가 대규모 고객정보 유출 사고에 휘말렸다.

유출된 정보에는 이름, 전화번호, 주소뿐 아니라 카드번호 전체, 유효기간, 공동현관 비밀번호 등 민감한 개인정보가 포함돼 있는 것으로 나타났으며 피해자는 230만 명에 달할 것으로 추정된다.

‘일부 마스킹’ 주장과 다른 실제 유출 정황

파파존스
사진 = 연합뉴스

국회 과학기술정보방송통신위원회 최민희 위원장은 지난 26일 한국파파존스 고객 일부의 카드번호 16자리와 유효기간까지 유출된 사실을 공개했다.

앞서 한국파파존스는 “카드번호는 일부만 노출됐으며, 유효기간이나 인증번호는 포함되지 않았다”고 밝힌 바 있다.

하지만 최 위원장이 확보한 자료에 따르면 실제 유출된 정보는 카드번호 전체는 물론 생년월일, 공동현관 비밀번호, 이메일 주소 등 회사 측 설명과는 전혀 다른 수준이었다.

최 위원장은 “주요 개인정보가 그대로 유출됐는데도 기업은 이를 축소하려 했다”고 지적하며 “국민의 안전을 위협할 수 있는 심각한 사안”이라고 강조했다.

기업 대응 늦고 소극적… 축소 해명 논란

파파존스
사진 = 연합뉴스

파파존스는 이날 입장문을 통해 “2017년부터 홈페이지 소스코드 관리에 문제가 있었다”며 장기간 정보가 노출될 수 있었던 구조적 문제를 인정했다.

그러나 “최초 검사 당시와 현재 확인된 사례가 다르다”며 조사 중이라는 입장도 함께 내놨다.

파파존스 관계자는 “추가 검토가 필요한 상황이며, 조사 과정에서 구체적인 피해 사례가 확인될 수 있다”고 전했다.

이에 대해 최민희 위원장은 “유출 사실을 인지하고도 차단까지 이틀이 걸렸고, 피해자들에게도 즉시 알리지 않았다”며 책임 있는 자세가 부족하다고 지적했다.

개인정보위 조사 착수… 제재 가능성 검토

파파존스
사진 = 연합뉴스

개인정보보호위원회는 즉시 조사에 착수했다.

위원회는 “유출 경위와 피해 규모, 법적 의무 이행 여부를 확인할 예정”이라며 위반 사실이 확인될 경우 관련 법령에 따라 조치를 취하겠다고 밝혔다.

특히 홈페이지 운영상의 보안 취약점을 주요 원인으로 지목하며 관리자 페이지 접근제한, URL 주소 관리 등 기본적인 보안조치의 필요성을 강조했다.

파파존스 측은 보완 조치를 완료했으며 보안 시스템 전면 점검과 개인정보 관리 매뉴얼 강화를 약속하며 “피해 사실이 확인되면 개별 안내하고, 필요한 보호 조치를 시행하겠다”고 밝혔다.

파파존스
사진 = 연합뉴스

하지만 이미 유출된 정보의 범위가 광범위하고, 카드정보까지 포함된 만큼 2차 피해 우려도 커지고 있다.

전문가들은 관련 계정 비밀번호 변경, 결제 내역 점검 등 이용자의 추가적인 주의가 필요하다고 조언한다.

이번 사건은 한 기업의 관리 소홀을 넘어, 개인정보 보호에 대한 기업 책임 의식과 대응 체계를 재검토할 필요성을 다시 한번 보여줬다.

Copyright ⓒ 리포테라. All rights reserved. 무단 전재, 재배포 금지

1