주문번호만 알면 다른 사람의 정보까지? '파파존스' 주문 정보 유출 사건
피자 프랜차이즈 ‘파파존스’ 웹사이트에서 고객의 개인정보가 로그인 없이도 누구에게나 노출되는 심각한 보안 사고가 발생했습니다. 사건의 핵심은 주문번호만 알면 타인의 이름, 전화번호, 배달 주소, 심지어 카드 정보와 공동현관 비밀번호까지 확인할 수 있었다는 점입니다. 이것은 단순한 실수가 아닌, 개인정보 보호의 기본 원칙을 무시한 구조적 취약점이었습니다. 마치 배달 온 피자 상자를 아무나 열어볼 수 있도록 문 앞에 내놓은 것과 다름없습니다.
9자리 주문번호 = 개인정보의 열쇠?
누구든 단지 숫자 9자리를 입력하기만 하면, 다른 고객의 민감한 정보를 조회할 수 있었습니다. 이건 열쇠도 자물쇠도 없는 문에, 비밀번호 메모를 붙여 놓은 셈입니다.
일부 정보에는 결제에 사용된 카드번호 앞자리, 유효기간, 그리고 공동현관 비밀번호까지 포함되어 있었습니다. 정보가 도난당할 수 있는 최악의 조건이 그대로 방치돼 있던 것입니다.
지나치게 오래된 정보까지…
파파존스는 개인정보 보관 기간을 5년이라고 안내했지만, 2017년 주문 내역까지 그대로 남아 있었습니다. 이미 폐기했어야 할 정보가 버젓이 보관된 채로, 최대 3,700만 건의 개인정보가 유출되었을 가능성도 제기되고 있습니다.
해커가 가장 좋아하는 정보가 바로 이런 것들입니다
이름, 전화번호, 주소, 결제수단, 공동현관 비밀번호까지… 개인 한 사람의 삶을 구성하는 정보들이, 그대로 노출되어 있었습니다. 이런 정보들은 해커에게 단순한 숫자나 글자가 아닌 ‘무기’가 됩니다.
추가 피해도 주의해야 합니다
이런 정보 유출은 단순한 '불쾌감'을 넘어서, 실제 피해로 이어질 수 있습니다.
- 스미싱 및 피싱: 이름, 주소, 전화번호를 이용해 실제 구매 이력을 바탕으로 한 정교한 사기 문자 발송
[파파존스입니다] 고객님, 주문하신 피자 결제가 오류로 실패되었습니다. 아래 링크에서 재결제 부탁드립니다.
https://papajones-order-check.com/pay
이런 메시지는 실제 주문 내역과 일치하기 때문에 사용자가 속기 쉬우며, 링크를 클릭하면 악성 앱 설치나 카드 정보 탈취로 이어질 수 있습니다.
- 금융 피해: 노출된 카드번호 일부와 유효기간 정보가 범죄에 악용되어 결제 시도
- 스토킹 및 주거 침해: 배달 주소 및 공동현관 비밀번호가 유출되어 주거 안전 위협
- 사회공학 공격: 유출된 정보로 본인인 척 접근하거나, 지인에게 피해를 유도하는 공격
블랙쏘세지로 링크를 안전하게 보세요.
위험한 링크, 의심스러운 광고, 감염 가능성이 있는 페이지를 열어보기도 전에 걱정부터 앞서신다면, 블랙쏘세지를 통해 안전하게 볼 수 있습니다.
블랙쏘세지는 원격 브라우저 격리 기술을 사용합니다. 즉, 스마트폰에서 링크를 눌렀을 때, 그 링크는 내 기기에서 열리지 않고, 안전한 원격 공간에서 실행됩니다. 내 스마트폰은 격리된 공간 덕분에 악성코드로부터 안전합니다. 감염 걱정 없이, 어떤 링크도 마음 편히 확인하세요.
