파파존스에 이어 써브웨이에서도 소비자 개인정보 노출 정황이 포착됐다. 외식 프랜차이즈 업종에서 잇따라 개인정보 노출 사고로, 정보 보안에 대한 경각심을 높여야 한다는 지적이 나온다.
개인정보보호위원회는 소비자 개인정보가 무방비로 노출된 정황이 있는 써브웨이에 대한 조사에 착수했다고 1일 밝혔다.
개인정보위는 써브웨이를 대상으로 구체적인 유출 경위와 피해 규모, 사업자의 안전조치 의무 준수 여부 등을 확인하고 법 위반 사항 발견 시 관련 법령에 따라 처분할 예정이다.
개인정보위에 따르면 써브웨이는 지난달 26일 조사에 착수한 한국파파존스와 동일하게 홈페이지 인터넷주소(URL)의 뒷자리 숫자를 변경하면 다른 소비자의 연락처, 주문내역 등 정보가 별도 인증 절차 없이 확인할 수 있는 상태로 운영된 것으로 알려졌다.
두 사건 모두 홈페이지 주소의 파라미터 변조가 원인인 만큼 각 사업자는 접근제어 및 권한 검증, URL 관리, 안전한 세션 처리 등 홈페이지 운영에 세심한 주의가 필요하다고 개인정보위는 당부했다.
개인정보위는 주문·배달 과정에서 개인정보 처리가 필수적으로 수반되는 식·음료 분야에 대해 전반적인 개인정보 처리 실태 조사를 진행하고 있으며, 올해 하반기 조사 결과를 발표할 예정이다.
써브웨이는 이번 사태와 관련해 입장문을 내고 “최근 PC를 통한 당사 웹사이트 온라인 주문 서비스에서 고객 정보와 관련한 제한된 데이터가 노출될 우려가 있는 기술적 문제를 발견했다”며 “즉각적인 조치를 취해 현재는 문제를 해결한 상태”라고 설명했다. 써브웨이는 또한 현재까지 개인정보가 외부로 유출되거나 오용된 정황도 발견되지 않았다고 전했다.
이화연 기자 hylee@segye.com
