- URL 변조로 타인 주문정보 노출…파파존스 이어 써브웨이도 동일 문제
- 개인정보위, 식음료 업계 전반 실태조사…하반기 결과 발표 예정
개인정보보호위원회가 7월 1일 써브웨이 인터내셔날 비브이(써브웨이)에 대한 개인정보 유출 의혹 조사를 공식 착수했다.
이번 조사는 최근 한국파파존스(주) 홈페이지에서 발생한 개인정보 노출 사고와 유사한 방식으로, 써브웨이 홈페이지의 URL 주소 뒷자리 숫자만 변경해도 별도의 인증 없이 다른 고객의 연락처와 주문내역 등 민감한 정보가 노출되는 것으로 알려졌다.
개인정보위는 이번 조사에서 구체적인 유출 경위와 피해 규모, 써브웨이의 안전조치 의무 준수 여부 등을 면밀히 확인할 방침이다. 법 위반 사실이 드러날 경우, 관련 법령에 따라 엄정한 처분이 내려질 전망이다.
두 사건 모두 홈페이지 주소의 파라미터 변조가 원인으로 지목됐다. 이에 따라 개인정보위는 써브웨이 등 관련 사업자들에게 접근제어와 권한 검증, URL 주소 관리, 안전한 세션 처리 등 기본적인 홈페이지 보안 관리의 중요성을 강조했다. 실제로 최근 몇 년간 유사한 방식의 개인정보 노출 사고가 반복되고 있어, 업계 전반에 걸친 보안 인식 개선이 시급하다는 목소리가 높다.
한편, 개인정보위는 주문·배달 과정에서 개인정보 처리가 필수적으로 이뤄지는 식음료 분야 전체를 대상으로 개인정보 처리 실태조사도 병행 중이다. 이번 조사는 하반기 내 결과가 발표될 예정이며, 업계 전반의 개인정보 보호 수준 향상과 재발 방지 대책 마련에 중요한 계기가 될 것으로 보인다.
