피자 프랜차이즈 ‘파파존스’와 명품 플랫폼 ‘머스트잇’에서도 고객 개인정보 유출사고가 발생했다.

한국파파존스는 26일 입장문을 내고 “일부 고객 정보가 외부에 노출될 수 있는 보안 취약점을 발견했다”며 “노출 정보는 고객명과 연락처, 주소 등이며 카드 정보의 경우 카드번호 16자리 중 일부가 마스킹(가림) 처리된 상태로 확인됐다”고 밝혔다.

이어 “전날 신고 접수된 건에 대해 즉각 조치했으며 현재 모든 보완 작업을 완료해 운영하고 있다”고 했다.

파파존스는 “관리 소홀로 고객 여러분께 심려 끼쳐드린 점에 대해 무거운 책임감을 느낀다”며 “구체적인 피해 발생 여부를 파악하고 확인된 피해가 있다면 신속히 고객에게 안내한 뒤 적절한 보호 조치를 시행하겠다”고 밝혔다.

같은 날 머스트잇도 자사 홈페이지 공지에서 “지난 23일 한국인터넷진흥원(KISA)를 통해 개인정보 침해 정황을 통보받았다”며 “자체 점검 결과 5월6~14일, 6월9일 두 차례의 비정상 접근 시도가 있었다”고 밝혔다. 해당 인터페이스(API)는 별도 인증 없이 개인정보 일부를 조회할 수 있는 구조였으며, 사고 인지 즉시 해당 취약점을 차단하고 전면적인 보안 조치를 완료했다는 것이다. 관련 기관에도 신고했다고 덧붙였다.

유출 가능성이 있는 개인정보는 회원번호와 아이디 가입일, 이름, 생년월일, 성별, 휴대전화 번호, e메일, 주소 등 최대 9개 항목으로 꼽혔다. 머스트잇은 2차 피해를 막기 위해 “관련 계정의 비밀번호 변경을 권장한다”며 “보이스피싱·스미싱 등 의심스러운 전화나 문자에 각별히 주의하라”고 밝혔다.

개인정보보호위원회는 이날 이번 사고에 대한 조사 및 사실관계 파악에 착수했다.

개인정보위는 “(파파존스가) 25일 오후 유출신고를 통해 홈페이지 소스코드 관리 소홀로 2017년 1월부터의 고객 주문정보가 온라인상에 노출되어 있음을 확인했다고 밝혔다”며 “구체적인 유출 경위 및 피해규모, 기술적·관리적 안전조치 의무 준수 여부 등을 확인하고, 개인정보 처리방침에 따른 개인정보 보유·이용 기간을 초과하여 주문정보를 보관한 부분에 대해서도 집중적으로 확인해 법 위반 발견 시 관련 법령에 따라 처분할 예정”이라고 밝혔다.

개인정보위 관계자는 27일 “머스트잇에 대해서는 대략 1주일 이내의 사실관계 파악 후 조사여부를 결정할 것”이라고 설명했다.

이재걸 기자 claritas@naeil.com