‘이번엔 또 써브웨이야?!’ 식음업계 개인정보 잇단 유출 정황...“정부 보안 지원책 시급”

URL 단순 조작으로 온라인 주문 개인정보 노출
"중소기업 개인정보보안 인력 지원 필요" 목소리

▲30일 서울 시내의 한 써브웨이 매장을 행인이 지나치고 있다. (연합뉴스)

샌드위치 프랜차이즈 써브웨이에서 고객 개인정보가 노출된 것으로 드러났다. 최근 파파존스 등의 온라인 홈페이지에서 개인정보 보안 허점이 연달아 포착되면서 소비자 우려가 커지는 가운데 기업의 개인정보 보안을 강화하기 위한 정부 지원이 필요하다는 지적이 나온다.

써브웨이 측은 "최근 PC를 통한 당사 웹사이트 온라인 주문 서비스에서 고객 정보와 관련한 제한된 데이터가 노출될 우려가 있는 기술적 문제를 발견했다"고 30일 밝혔다.

써브웨이에서 로그인 없이 온라인 주문 페이지에 접속한 뒤 웹주소(URL) 끝부분 숫자를 임의로 변경하면 다른 고객의 연락처와 주문 정보(픽업매장, 방문포장ㆍ매장식사 여부, 주문내역, 주문금액, 요청사항 등)가 화면에 표시되는 등 보안 취약점이 발견됐다. 써브웨이에 따르면 현재 해당 문제는 해결된 상태다.

실제 고객 정보의 유출 여부 등은 확인되지 않았다. 써브웨이 관계자는 "아직 고객 정보가 외부로 유출되거나 오용됐다는 정황은 확인하지 못했다"며 "당사는 예방적 조치로 신속히 이번 사안은 한국인터넷진흥원(KISA)에 신고했고 관계 기관의 조사를 기다리는 중"이라고 설명했다.

이번 사고는 홈페이지 수시 업데이트 과정에서 충분한 검토 절차를 거치지 않아 발생한 것으로 전문가들은 보고 있다.

앞서 피자 프랜차이즈 한국파파존스 역시 URL 뒷자리 숫자를 바꿔 넣으면 고객명과 연락처, 주소, 카드 번호가 나오는 등 고객 정보가 노출되는 사고가 발생한 바 있다.

국회 과학기술정보방송통신위원장인 최민희 더불어민주당 의원은 "제3자의 개인정보를 별다른 절차 없이 열람할 수 있는 보안체계로 인해 개인정보가 유출되고 있었다"며 "(써브웨이의 경우) 최소 5개월간 동일한 방식으로 개인정보가 유출되고 있었던 것으로 추정된다"고 설명했다.

최 의원은 "민감한 개인정보를 제공할 수밖에 없는 식음료 주문과 배달이 폭발적으로 늘어난 상황에서 관련 기업들 전반의 정보보호시스템 점검이 필요하다"며 "기업 스스로는 물론 정부 또한 대책을 세워야 할 것"이라고 지적했다.

특히 보안 인력과 예산이 충분하지 않아 홈페이지 수시 개편 시 적절한 보안 절차를 거치기 어려운 중소기업의 보안 능력 강화가 시급하다는 지적도 나온다.

김승주 고려대 정보보호대학원 교수는 "파파존스와 써브웨이 정보 노출 사고의 공통점은 손쉬운 공격에 홈페이지의 보안 허점이 드러났다는 사실"이라며 "처벌 강화보다는 정보보호제품 렌탈 사업, 보안총괄책임자 전문 업체 지원 등 중소기업의 보안 수준을 높일 정부 지원 방안이 필요한 시점"이라고 꼬집었다.