피자 주문했더니 개인정보까지 따라나갔다
공동 현관 비번까지 노출된 충격적 보안 허점
KISA 늑장 대응…정부, 책임 규명 나선다
“현관문 비밀번호까지 털렸다고 생각하니 소름 돋는다.”
최근 SK텔레콤 고객 정보 유출 사태로 온 나라가 들썩인 가운데, 또 하나의 충격적인 개인정보 보안 구멍이 드러났다.
피자 프랜차이즈 ‘한국파파존스’가 지난 9년 동안 3,700만 건이 넘는 고객 정보를 허술한 웹페이지 구조로 무방비 상태에 방치해온 사실이 밝혀지며, 정보 보안 관리의 근본적인 부실이 도마 위에 올랐다.
숫자 몇 개 바꿨을 뿐인데…남의 개인정보가 그대로
사건은 우연한 클릭에서 시작됐다. 한 IT업계 종사자가 피자를 주문하고 배달 현황을 확인하던 중, 웹페이지 주소(URL)의 끝자리 숫자 몇 자리를 바꿨을 뿐인데 전혀 다른 사람의 주문 내역이 떴다.
배달 현황 정도가 아니었다. 이름, 연락처, 주소는 물론이고 이메일, 생년월일, 카드번호, 유효기간, 심지어 공동 현관 비밀번호까지 고스란히 노출됐다.
인증 절차조차 없었다. ‘로그인한 사용자만 정보를 볼 수 있다’는 기본 보안 원칙조차 무시된, 상상 밖의 허점이었다.
이 이용자는 즉시 한국인터넷진흥원(KISA)에 신고했다. 그러나 문제를 전달한 시점은 사흘 뒤. 주말엔 담당자가 없었다는 해명은, 치명적인 정보 유출 앞에 변명이 되지 못했다.
그 사이 URL만 조작하면 수만 건의 개인정보가 노출될 수 있었고, 실제로 김씨는 4만 5천 건에 달하는 접근 가능성을 확인했다고 한다. 사태의 규모가 가늠조차 안 될 정도로 커졌다는 뜻이다.
기술 문제가 아니라 인식 부재…보안은 없었고 책임도 없었다
사고의 본질은 개발 과정의 허술함이나 관리 소홀만으로 설명되지 않는다.
인증 시스템 없이 민감한 정보를 바로 불러올 수 있는 구조, 검수조차 거치지 않은 채 운영돼 온 웹페이지, 사후 대응의 늑장까지.
이는 실수라고 보기에는 어렵고, 정보 보안을 대하는 인식 자체가 얼마나 부족했는지를 적나라하게 보여준다. 기술적인 문제가 아니라, 책임과 감시 체계가 아예 없었다는 사실이 더 큰 충격을 준다.
과학기술정보방송통신위원회 최민희 위원장은 이번 사태에 대해 “피해 규모와 긴급성을 고려할 때, KISA의 대응은 명백한 늑장”이라고 지적하며 책임자 규명과 재발 방지를 강하게 주문했다.
파파존스 측은 문제를 인지한 뒤 조치에 나섰지만, 이미 수많은 고객 정보가 어떤 방식으로 노출됐을지조차 추적이 불가능한 상황이다.
이번 사태는 해킹이라는 외부의 위협보다 더 무서운 건, 내부에서 방치된 보안의식이라는 사실을 다시금 보여준다. 디지털 일상이 된 지금, 개인정보는 더 이상 ‘누군가 훔쳐 가야만 유출되는 것’이 아니다.
허술한 설계와 무관심만으로도 언제든 정보는 흘러나갈 수 있다. 더 늦기 전에, 기업과 기관 모두 근본적인 점검과 책임 있는 대응에 나서야 한다.
