본문 바로가기
세상소식

3,700만 건 개인정보가 무방비 노출…한국파파존스 보안 대참사

by wanee 2025. 7. 2.
반응형

2025년 상반기, SK텔레콤 고객 정보 유출 사건으로 온 국민의 공분이 커진 가운데, 또 하나의 충격적인 개인정보 보안 사고가 대한민국을 뒤흔들었습니다. 바로 피자 프랜차이즈 한국파파존스에서 무려 3,700만 건이 넘는 고객 정보가 9년간 무방비 상태로 방치되어 있었던 사실이 드러난 것입니다.

숫자 몇 개 바꿨을 뿐인데… 남의 정보가 ‘그대로’

크리에이티브 커먼즈

사건의 시작은 한 IT 업계 종사자의 우연한 클릭에서 시작됐습니다. 그는 피자를 주문하고 배달 현황을 확인하던 중, 웹페이지 주소(URL) 끝자리 숫자 몇 자리를 바꿔보았습니다. 그런데 놀랍게도 전혀 다른 사람의 주문 내역이 그대로 노출됐습니다.

단순한 배달 상태가 아니라, 노출된 정보에는 다음과 같은 심각한 개인정보가 포함되어 있었습니다:

  • 고객 이름
  • 연락처
  • 주소
  • 이메일
  • 생년월일
  • 카드번호 및 유효기간
  • 공동현관 비밀번호

이 모든 정보가 로그인 인증 절차 없이, 즉 누구나 URL 조작만으로 접근 가능한 구조였습니다.

인증 시스템조차 없었다

웹 보안의 가장 기본 원칙 중 하나는 **“로그인한 사용자만 정보에 접근할 수 있다”**는 것입니다. 하지만 한국파파존스의 시스템은 이 기본을 완전히 무시했습니다.

개발자는 URL을 통한 정보 조회에 아무런 제한을 두지 않았고, 심지어 관리·검수 절차조차 없었습니다. 이로 인해 수많은 개인정보가 그대로 외부에 노출된 것입니다.

문제를 인지한 이용자는 곧바로 **한국인터넷진흥원(KISA)**에 신고했지만, 이마저도 주말 동안 담당자가 없다는 이유로 사흘간 방치되었습니다. 그 사이 누구든지 URL 몇 자리를 바꾸는 방식만으로 수많은 개인정보에 접근할 수 있었던 것입니다.

신고자는 무려 4만 5천 건에 달하는 주문 정보에 접근 가능함을 확인했다고 밝혔으며, 실제 피해 규모는 이보다 훨씬 클 것으로 추정됩니다.

기술 문제가 아닌 인식 부재의 결과

이번 사건은 단순한 실수나 기술적 결함이 아닙니다. 오히려 보안에 대한 인식 부재와 조직적인 무관심의 결과로 봐야 합니다.

  • 인증 절차 없음
  • 정보 암호화 없음
  • 보안 점검 및 감사 미실시
  • 사용자 정보 관리 정책 부재
  • 사후 대응 지연

이 다섯 가지 요소는 이번 사태의 핵심적인 문제점으로, 이는 단순히 개발 단계에서의 실수가 아니라 기업 차원의 무책임함을 보여주는 증거입니다.

국회와 시민단체, 강력한 대응 요구

국회 과학기술정보방송통신위원회 소속 최민희 위원장은 “피해 규모와 긴급성을 고려할 때, KISA의 대응은 명백한 늑장”이라고 지적하며, 책임자 규명 및 재발 방지책 마련을 강력히 촉구했습니다.

이미 수많은 고객 정보가 외부로 유출됐을 가능성이 있는 가운데, 사후 추적은 거의 불가능한 상태입니다. 이에 따라 피해자들은 언제 어떤 방식으로 개인정보가 악용될지 모르는 불안 속에 놓이게 되었습니다.

기업 보안의식, 이대로 괜찮은가?

이번 사건은 단순한 해킹 사건이 아닙니다. 외부의 공격이 아니라 내부의 방치가 부른 참사입니다. 이는 단순히 한국파파존스만의 문제가 아닌, 대한민국 전체 기업들이 함께 돌아봐야 할 보안 의식의 민낯입니다.

디지털 시대를 살아가는 오늘날, 개인정보 유출은 단지 해커의 손에서만 벌어지는 일이 아닙니다. 허술한 설계와 무관심만으로도 개인정보는 쉽게 유출될 수 있습니다.

기업과 기관이 반드시 실천해야 할 보안 수칙

이번 사태를 계기로 모든 기업과 공공기관은 다음과 같은 사항을 점검하고 반드시 준수해야 합니다:

  1. 모든 민감정보는 암호화 저장
  2. URL 기반 조회 차단 및 토큰 인증 도입
  3. 로그인 인증을 거친 사용자에게만 정보 노출
  4. 정기적인 보안 점검 및 외부 감사 실시
  5. 개발 단계부터 보안 설계 적용(DevSecOps)
  6. 신속한 대응 체계 구축 및 KISA 협업 강화

개인정보는 ‘남의 일’이 아닌 ‘내 일’입니다

한국파파존스 개인정보 유출 사건은 단순한 기업 보안 실패가 아닌, 디지털 시대의 경고입니다. 지금 이 순간에도 우리의 정보는 누군가의 서버 어딘가에 저장되고 있으며, 그 저장방식이 얼마나 안전한지는 대부분 사용자 본인이 알기 어렵습니다.

이제는 정보를 보호하는 기술도 중요하지만, 정보를 대하는 태도와 책임의식이 더욱 중요한 시대입니다. 정부와 기업, 그리고 사용자가 함께 만들어가는 안전한 디지털 생태계가 필요한 때입니다.

반응형
저작자표시 비영리 변경금지 (새창열림)

관련글

댓글

티스토리툴바