[한국파파존스] 홈페이지 보안 취약점으로 인한 고객정보 노출_2025년 6월

홈페이지 주문조회 시스템의 보안 취약점으로 고객 개인정보 노출 가능성 제기…주문번호만 바꿔도 타인 정보 확인 가능

□  개요  

     2025년 6월 25일, 피자 프랜차이즈 한국파파존스에서 고객 개인정보가 온라인상에 노출됐을 가능성이 확인되면서 논란이 되고 있다. 이는 홈페이지 주문조회 페이지의 보안 취약점으로 인해 주문번호(URL) 끝자리 숫자를 임의로 변경하는 것만으로 타인의 주문 정보에 접근할 수 있었던 구조 때문으로 밝혀졌다.
    해당 취약점은 2017년부터 존재했던 것으로 파악되며, 최대 3,732만 건의 주문 정보가 노출되었을 가능성이 제기되었다. 노출된 정보에는 이름, 전화번호, 주소, 생년월일, 이메일, 카드번호 및 유효기간, 공동현관 비밀번호 등 민감한 개인정보가 포함된 것으로 알려졌다.
    파파존스는 6월 25일 해당 사실을 인지하고 긴급 보완 조치를 완료했으며, 26일 공식 입장문을 통해 취약점 차단과 정부 기관 협력을 통한 조사를 진행 중이라고 밝혔다. 현재까지 실제 유출 피해 여부는 확인되지 않았지만, 개인정보보호위원회는 유출 경위 및 피해 규모, 기술적·관리적 보호조치 이행 여부에 대한 조사를 착수한 상태다.

 

□  사고내용 요약  

    1. 회사명 : 한국파파존스
    2. 사고유형 : 홈페이지 주문조회 시스템의 보안 취약점에 따른 고객정보 노출

    3. 개인정보 유출범위 : 2017년 1월 1일부터 최근까지 홈페이지에서 주문한 고객
    4. 개인정보 유출항목 : △이름 △전화번호 △주소 △이메일 △생년월일 △카드번호 및 유효기간 △공동현관 비밀번호 △적립 포인트 등
      ※ 일부 고객의 카드번호 16자리 전체 노출도 확인 됨

□  해킹대응 타임라인  

    -  2025년 6월 21일 : 일반 고객이 주문조회 페이지에서 보안 취약점 발견 및 KISA에 신고
    -  2025년 6월 24일 : KISA가 한국파파존스 측에 해당 사실 전달
    -  2025년 6월 25일 13:44 : 파파존스, 문제된 URL 접근 방식 차단 및 보완 조치 완료
    -  2025년 6월 26일 : 개인정보보호위원회, 한국파파존스에 대한 공식 조사 착수
    -  2025년 6월 26일 : 한국파파존스, 공식 입장문 통해 사고 및 대응 내용 공지

 

□  개인정보 유출  사과공지  

 

 

□  대응내역  

    -  홈페이지 주문조회 시스템의 구조적 점검 및 전면 보안 개편
    -  주문번호 기반 접근 구조 폐지 및 사용자 인증 강화
    -  개인정보 보유 기간 초과 정보 삭제 등 데이터 보관 정책 개선
    -  정부 유관 기관(KISA, 개인정보위)과 협력하여 철저한 원인 규명 및 피해 확인
    -  유사 취약점 재발 방지를 위한 보안 매뉴얼 재정비 및 교육 강화

 

□  관련기사(출처)  

• 피자 주문하다 카드번호·주소 다 털렸다…파파존스 개인정보 유출 사고 - 매일경제
• “숫자만 바꿔도 고객 정보가”…한국파파존스, 고객정보 3천700만건 유출 가능성 - 경기일보
• 카드번호·주소 다 털렸다…파파존스서도 개인정보 유출 '발칵' - 중앙일보
• "파파존스, 8년 6개월동안 개인정보 3730만건 유출" - 지디넷코리아
• 개인정보위, '고개정보 유출' 한국파파존스 조사 착수 - 전자신문
• 맨날 배달 주문했는데...개인정보위, 고객정보 홈페이지에 노출한 파파존스 조사 나서 - 보안뉴스

 

감사합니다.