2025.06.25 파파존스 개인정보 유출 사고 요약

1. 개요

• 2025년 6월 25일, 한국 파파존스(Papa Johns)의 공식 웹사이트에서 고객 개인정보가 무방비로 노출되는 보안 취약점이 발견되었습니다.
• 소프트웨어 개발자 A씨가 파파존스 웹사이트를 이용하던 중 9자리 주문번호를 임의로 변경하여 입력하면 로그인 없이도 다른 고객의 주문 정보에 접근할 수 있다는 사실을 발견하여 언론에 제보했습니다.
• 이 사건은 해킹 공격이 아닌 웹사이트 시스템의 심각한 보안 설계 결함으로 인해 발생했으며, SBS의 단독 보도로 알려지게 되었습니다.
• 2025년 6월 26일, 개인정보보호위원회는 한국파파존스의 개인정보 유출 건과 관련해 조사에 착수했다고 밝혔습니다.
• 최민희 더불어민주당 의원실의 자체 조사를 통해 사고의 구체적인 규모와 기간이 밝혀졌으며, 이는 2017년 1월 1일부터 2025년 6월 24일까지 총 8년 6개월간 지속된 것으로 확인되었습니다.

 
2. 피해범위

• 제보자 측 분석에 따르면 총 3,700만 건 이상의 주문 정보가 노출된 것으로 파악되었습니다. 
• 파파존스는 개인정보 처리 방침에 거래 정보를 5년간 보관한다고 밝혔으나, 실제로는 3년 전에 폐기되었어야 할 2017년 1월 주문 정보까지 시스템에 남아있었습니다.
• 최민희 의원실이 제보자와 함께 분석한 결과, 주문번호가 2017년 초 1억521만번대에서 2025년 6월 24일 1억4254만번대인 점을 토대로 추산한 결과 정확히 3,732만 건(3,730만 건)의 개인정보가 유출된 것으로 확인되었습니다. 또한 사후 대응 미흡으로 인해 약 4만 5,000건이 추가로 유출되었습니다.

 
3. 유출항목
 - 노출된 개인정보는 다음과 같습니다:

• 기본 정보: 주문자 이름, 전화번호, 배달 주소
• 결제 정보: 신용카드 번호, 카드 유효기간
• 배송 관련 정보: 공동현관 비밀번호
• 주문 내역: 과거 주문 기록 및 상세 정보

 - 최민희 의원실의 조사에 따르면 유출된 정보에는 이름, 연락처, 주소, 이메일, 생년월일은 물론이고 카드번호 16자리 전부, 카드 유효기간, 카드 전표, 공동현관 비밀번호 등 총 10가지 이상의 민감한 개인정보가 포함되었습니다. 
 - 파파존스의 초기 해명과 달리 카드번호가 일부 마스킹 처리된 것이 아니라 16자리 전체가 노출된 것으로 밝혀져 거짓 해명 논란이 제기되었습니다.
 
4. 원인
 - 이번 사고의 주요 원인은 웹사이트 시스템의 접근 제어 부족입니다. 구체적인 문제점은 다음과 같습니다:

• 인증 없는 데이터 접근: 로그인하지 않은 상태에서도 주문번호만으로 타인의 개인정보에 접근 가능
• 순차적 주문번호 시스템: 9자리 숫자로 구성된 주문번호를 임의로 변경하여 다른 고객 정보 조회 가능
• 데이터 보관 정책 미준수: 개인정보 처리방침에 명시된 보관 기간을 초과하여 데이터 보관
• 개인정보보호법 29조 위반: 개인정보 안전성 확보에 필요한 기술적 조치 미흡

 - 이번 사고는 파라미터 변조(Parameter Manipulation) 취약점으로 분류되며, 웹 애플리케이션이 URL의 쿼리스트링을 조작해 다른 사용자의 데이터에 접근할 수 있는 OWASP Top 10의 'A01: 접근제어 실패' 유형에 해당합니다. 
 - 김승주 고려대 정보보호대학원 교수는 "이 정도로 기본적인 보안조차 마련되지 않은 기업은 처음"이라고 지적했습니다.
 
5. 대응
 - 즉시 조치:

• SBS 취재가 시작되자 뒤늦게 로그인을 해야만 본인 주문 정보만 확인할 수 있도록 시스템 수정

 - 공식 신고 및 조사:

• 한국인터넷진흥원(KISA)에서 구체적인 사실관계 파악 착수
• 파파존스 측은 조사에 협조하겠다고 밝힘

 - 정부 대응:

• 최민희 국회 과학기술정보방송통신위원장은 개인정보보호위원회가 로그인 기록을 확인해야 한다고 지적
• 개인정보보호위원회 조사 착수: 개인정보위는 6월 26일 한국파파존스에 대한 현장조사에 착수했으며, 구체적인 유출 경위와 피해 규모, 기술적·관리적 안전조치 의무 준수 여부 등을 확인하고 있습니다.
• KISA 늑장 대응 논란: 제보자가 6월 21일 KISA에 신고했으나, KISA가 파파존스에 문제를 전달한 것은 3일 후인 6월 24일이었습니다.

 - 파파존스 공식 입장: 파파존스는 6월 26일 입장문을 통해 "일부 고객 정보가 외부에 노출될 수 있는 취약점을 발견했다"며 "보안 시스템을 전면 점검하고 유사 사고가 재발하지 않도록 강도 높은 안전성 점검을 시행하겠다"고 밝혔습니다.
 
6. 문제점
 - 심각한 보안 설계 결함:

• 가장 기본적인 인증 절차 없이 민감 정보 노출
• 신용카드 번호, 공동현관 비밀번호 등 고위험 정보 포함으로 금융사기, 주거침입 등 2차 피해 우려

 - 법적 위반 소지:

• 개인정보보호법 29조(개인정보 안전성 확보에 필요한 기술적 조치) 위반 가능성

 - 대응의 늦음:

• 보안 취약점이 장기간 방치되었으며, 언론 보도 후에야 뒤늦게 조치
• 수년간 축적된 대량의 개인정보가 무방비 상태로 노출

 - 데이터 관리 부실:

• 개인정보 처리방침에 명시된 보관 기간을 준수하지 않아 불필요한 개인정보까지 유출 위험에 노출

 - 거짓 해명 논란: 파파존스는 초기에 "카드번호 16자리 중 일부가 마스킹 처리된 상태였다"고 해명했으나, 실제로는 카드번호 16자리 전체와 유효기간이 노출된 것으로 밝혀져 신뢰성 문제가 제기되었습니다.
 - 과태료 부과 가능성: 개인정보보호법 위반 시 과태료 및 형사처벌 등 행정처분이 가능하며, 위법 사실이 확인되면 관련 법령에 따라 처분될 예정입니다.
 - 개인정보 보관 기간 위반: 전자금융거래 정보는 최대 5년간만 보관해야 하나 8년 이상 보관하여 개인정보보호법을 명백히 위반했습니다.
 - 2차 범죄 위험성: 유출된 정보에는 공동현관 비밀번호 등이 포함되어 스미싱, 절도, 스토킹 등 2차 범죄로 직결될 수 있는 고위험 정보입니다.
- 2024년 7월 한국파파존스는 고객 개인정보가 노출되고 있는 상황을 인지한 후 온라인구매 보안설계를 수탁받은 외주업체에 시정요청을 하여 업체는 즉각 시정조치했지만 한국파파존스와 업체는 한국인터넷진흥원(KISA)에 신고하지 않은 것으로 밝혀졌습니다.
- 2024년 10월 업체 측이 온라인구매 기능업데이트를 진행하던 중 설계자의 과오로 인해 설계결함이 재차 발생하였으며 이 상태로 9개월간 유지됐고 올해 개인정보 노출이 수면 위로 드러났습니다.