피자 프랜차이즈 ‘파파존스’가 고객 개인정보가 외부에 노출된 사실을 작년 7월 인지하고도 이를 숨긴 채 한국인터넷진흥원(KISA)에 신고하지 않았던 것으로 드러났다. 개인정보가 실제로 외부에 노출된 기간은 약 9개월, 노출된 개인정보는 3,730만 건에 달한다.

1일 국회 과학기술정보방송통신위원회 소속 최민희 위원장(더불어민주당·남양주갑)은 “한국파파존스는 작년 7월 개인정보 노출을 인지하고도 외주업체에 조치만 요청했을 뿐, KISA에는 법적 신고를 하지 않았다”며 “이는 개인정보보호법 제34조를 위반한 것”이라고 밝혔다.

당시 파파존스는 온라인 주문 시스템 보안을 위탁받은 외주업체로부터 노출 사실을 전달받고 시정조치를 요구했고, 외주업체도 이를 즉시 수정했다. 그러나 파파존스 측은 개인정보보호법상 의무사항인 72시간 내 KISA 신고를 누락한 채 이를 조용히 넘어간 것으로 확인됐다.

이후 작년 10월, 해당 외주업체는 기능 업데이트를 진행하던 중 설계자 과오로 보안 결함이 다시 발생했다. 결국 시스템은 지난 7월과 유사한 개인정보 노출 상태로 되돌아갔고, 이 상태는 2024년 10월부터 2025년 6월까지 무려 9개월간 유지됐다. 그 사이 수천만 건의 고객 정보가 외부에 노출됐다.

파파존스는 이 기간에도 관련 사실을 신고하지 않았으며, 개인정보 유출 사실이 외부에 드러난 것은 올해 6월이 돼서야다. 이는 명백한 은폐 행위라는 지적이다.

개인정보보호법 제64조의2에 따르면, 이 같은 위반에 대해 전체 매출액의 3% 이내에서 과징금이 부과될 수 있으며, 제75조에 따라 3천만원 이하의 과태료도 부과 가능하다.

최 위원장은 “최근 각종 온라인 플랫폼에서 개인정보 노출 사고가 끊이지 않고 있다”며 “노출 사실을 은폐할 것이 아니라 즉각적인 조치와 함께 관련 기관에 신속히 신고해 조사를 성실히 받아야 한다”고 강조했다.