국회 과학기술정보방송통신위원회 최민희 위원장(더불어민주당·남양주갑)은 파파존스 피자 고객의 민감 개인정보가 8년 넘는 기간 동안 무방비 상태로 유출되고 있었음을 확인했다고 27일 밝혔다.

최 위원장이 제보를 통해 확인한 바에 따르면, 개인정보 유출은 2017년 1월 1일부터 2025년 6월 24일까지 약 8년 6개월간 지속되었으며, 총 유출 건수는 약 3,730만 건에 달하는 것으로 추정된다. 유출된 정보에는 이름, 연락처, 주소, 이메일, 생년월일은 물론이고, 카드번호 전체(16자리), 유효기간, 카드전표, 공동현관 비밀번호 등 2차 범죄로 직결될 수 있는 고위험 정보가 포함돼 있었다.

최 위원장실은 제보 내용을 확인한 뒤 곧바로 파파존스 측에 해당 사실을 알렸지만, 정보 유출 차단까지는 이틀이 소요됐다. 이 과정에서 한국인터넷진흥원(KISA)에도 신고가 이루어졌으나, KISA 역시 신속하게 대응하지 못한 것으로 드러났다.

■ URL 조작만으로 타인 정보 확인… 무려 3,730만 건 유출

지난 23일 최 위원장실에 접수된 제보에 따르면, 파파존스의 피자 주문 페이지에서는 URL 내 ‘order ID’ 항목에 임의의 9자리 숫자를 입력하면 해당 주문에 포함된 타인의 개인정보가 그대로 노출되는 중대한 보안 결함이 있었다.

최 위원장실이 제보자와 함께 이를 분석한 결과, 이 같은 유출은 약 3,730만 건으로 추정되며, 이름, 연락처, 주소, 이메일, 생년월일, 카드번호 전체, 유효기간, 카드전표 등이 포함됐다. 공동현관 비밀번호는 고객이 배달 기사에게 남긴 주문 메모를 통해 확인되는 사례도 있었다. 이는 단순한 정보 유출을 넘어, 스미싱, 절도, 스토킹 등 범죄로 악용될 가능성이 매우 높은 심각한 사안이다.

■ 파파존스의 사실 왜곡 해명… 카드번호 전체 노출된 전표 확인

최 위원장은 즉시 KISA와 해당 사실을 공유하고, 사이트 접근 차단을 긴급 요청했다. 파파존스 측은 25일 “노출된 정보는 고객명, 연락처, 주소 등이며, 카드번호는 일부 마스킹 처리됐다”고 해명했으나, 이는 사실과 다르다.

실제 최 위원장실이 확보한 정보에는 카드번호 16자리가 전부 노출된 카드전표가 다수 포함되어 있었으며, 이는 해명과 명백히 배치되는 내용이다. 제보자 또한 23일 오전 11시 47분, 파파존스 고객센터에 유출 사실을 신고했으나, 보안 조치는 이틀 뒤인 25일 오전에야 완료되어 추가 피해 발생 가능성이 제기된다.

■ 법정 보관기간 5년 초과… 개인정보보호법 위반 소지 명백

또한 파파존스는 법정 보관 기간을 초과한 8년치 주문 정보를 보관해 개인정보처리방침과 관련 법령을 명백히 위반한 정황도 드러났다.

파파존스의 개인정보처리방침에 따르면, 전자금융거래 관련 정보는 최대 5년간 보관하도록 규정되어 있다. 그러나 이번 유출은 2017년부터 2025년까지의 정보가 포함돼 있었고, 이는 개인정보보호법 제21조(개인정보의 파기) 제1항에서 명시한 “보유 기간 경과 시 지체 없이 파기” 의무를 위반한 것이다.

■ 파파존스·정부기관 늑장 대응… 추가 4만 5천 건 유출

문제는 여기서 그치지 않는다. 사후 대응 지연으로 인해 약 4만 5천 건의 개인정보가 추가 유출된 것으로 드러났다.

제보자는 6월 21일 오후 8시경, KISA 개인정보침해센터에 해당 사실을 신고했고, 6월 23일 오전 11시경에는 파파존스 고객센터에도 접수했다. 그러나 파파존스의 보안 조치는 6월 25일 오전에서야 완료, 무려 5일간이나 지체되었다. 이 기간 동안 새로 생성된 주문정보 45,296건이 추가로 유출됐다.

개인정보보호위원회는 6월 26일 오후 4시 25분에서야 사건 담당 조사관을 배정했으며, 이 사실을 제보자에게도 그때서야 통보했다. 이에 대해 최 위원장은 “사태의 긴급성과 피해 규모를 고려할 때, 명백한 늑장 대응”이라고 지적했다.

■ 최민희 위원장 “피해 보상·재발 방지책 마련해야”

이 같은 사태에 대해 김승주 고려대학교 정보보호대학원 교수는 “이 정도로 기본적인 보안이 부실한 기업은 처음 본다”며, “개인정보보호법 제29조의 안전조치 의무를 위반한 사례로 볼 수 있다”고 밝혔다.

최민희 위원장은 “파파존스는 3,730만 건의 개인정보를 유출해 수많은 국민을 위험에 빠뜨렸을 뿐 아니라, 거짓 해명으로 사태를 은폐하려 했다”며, “정부 기관 역시 사건의 심각성을 인식하지 못하고 소극적으로 대응했다”고 비판했다.

이어 최 위원장은 “사태를 축소하려는 무책임한 태도를 중단하고, 피해자에 대한 진심 어린 사과와 적절한 보상, 재발 방지 대책을 즉시 마련해야 한다”며, 파파존스의 책임 있는 자세를 강력히 촉구했다.