[데일리시큐]파파존스·써브웨이, 개인정보 대량 노출…외식 프렌차이즈 업계 보안 비상

내용 요약

파파존스가 2017년 1월 1일부터 2025년 6월 24일까지 약 3,730만 건의 고객 개인정보를 보호 조치 없이 방치한 사실이 드러났습니다. 유출된 정보에는 이름, 전화번호, 주소, 카드번호, 결제 전표 이미지, 공동현관 비밀번호까지 포함되어 2차 범죄 우려가 높습니다. 내부 신고 접수 후 이틀 뒤에 유출이 차단되었고, KISA에도 늑장 신고되어 논란이 되고 있습니다. 현재 개인정보보호위원회가 조사 중입니다.

핵심 포인트

• 3,730만 건의 개인정보 유출: 이름, 전화번호, 주소, 16자리 카드번호, 결제 전표 이미지, 공동현관 비밀번호까지 포함.
• 2017년부터 2025년까지 장기간 방치: 보안 시스템 미흡으로 인한 사건.
• 내부 신고 후 늑장 대응: 유출 차단까지 이틀 소요, KISA 신고 지연.
• 개인정보보호위원회 조사 진행 중: 책임 소재 및 재발 방지 대책 마련 예정.

기술 세부 내용

1️⃣ 개인정보보호 관련 법규 및 제도

• 개인정보보호법: 개인정보의 수집·이용·제공 등의 전 과정에서 개인의 권리를 보호하고, 개인정보의 안전한 관리를 위한 법적 근거를 제공합니다.
• 정보통신망 이용촉진 및 정보보호 등에 관한 법률: 정보통신서비스 제공자의 개인정보보호 의무를 규정하고, 사이버 침해 사고 예방 및 대응을 위한 조치를 명시합니다.
• 개인정보의 안전성 확보조치 기준: 개인정보처리자는 개인정보의 안전성 확보를 위해 기술적, 관리적, 물리적 보호조치를 이행해야 합니다. 파파존스의 경우 이러한 조치가 미흡했던 것으로 추정됩니다.

2️⃣ 데이터 보안 기술

• 암호화 (Encryption): 데이터를 알아볼 수 없는 형태로 변환하여 허가받지 않은 접근을 방지합니다. 파파존스는 카드번호와 같은 민감한 정보를 암호화하지 않았던 것으로 보입니다.
• 접근 제어 (Access Control): 권한이 있는 사용자만 데이터에 접근할 수 있도록 제한하는 기술입니다. 데이터베이스 접근 권한 관리, 시스템 로그인 제한 등이 포함됩니다. ⛔
• 침입 탐지 및 방지 시스템 (IDS/IPS): 네트워크 트래픽을 모니터링하여 악의적인 활동을 탐지하고 차단하는 시스템입니다. 실시간으로 위협을 감지하고 대응하여 데이터 유출을 예방할 수 있습니다.
• 데이터 유출 방지 (DLP): 민감한 데이터가 외부로 유출되는 것을 방지하는 기술입니다. 데이터 이동 경로를 모니터링하고, 유출 시도를 차단합니다.
• 보안 감사 (Security Audit): 보안 정책 및 절차의 준수 여부를 정기적으로 검토하고 개선하는 활동입니다. 취약점을 파악하고 보안 시스템을 강화하여 데이터 유출 사고를 예방할 수 있습니다.

3️⃣ 사고 대응 및 복구 계획

• 침해사고 대응 계획: 사이버 공격이나 데이터 유출 사고 발생 시 신속하게 대응하고 피해를 최소화하기 위한 계획입니다. 파파존스는 신고 접수 후에도 유출 차단에 이틀이 걸리는 등 대응이 미흡했습니다. ⏳
• 데이터 백업 및 복구: 데이터 손실에 대비하여 정기적으로 데이터를 백업하고, 필요시 복구할 수 있는 시스템을 구축해야 합니다.
• 사고 후 분석: 사고 원인을 분석하고 재발 방지 대책을 마련하여 향후 유사한 사고 발생을 예방하는 것이 중요합니다.

 

출처: https://www.dailysecu.com/news/articleView.html?idxno=167484