고객 개인정보 무방비 노출 논란…개인정보위, 써브웨이 조사 착수

[일요신문] 고객 개인정보가 무방비로 노출된 정황이 드러나 논란이 된 써브웨이와 관련해 개인정보보호위원회(개인정보위)가 1일 써브웨이에 대한 조사에 착수했다.

개인정보위에 따르면 써브웨이는 개인정보위가 지난 6월 26일 조사에 착수한 파파존스와 동일하게 홈페이지 URL 주소 뒷자리 숫자 변경 시 다른 고객의 주문 정보가 별도의 인증절차 없이 확인 가능한 상태로 운영된 것으로 알려졌다.

개인정보위는 “써브웨이와 파파존스 두 건 모두 홈페이지 주소의 파라미터 변조가 원인으로, 각 사업자들은 접근제어 및 권한 검증, URL 주소 관리, 안전한 세션 처리 등 홈페이지 운영에 세심한 주의가 필요하다”고 밝혔다.

이와 함께 개인정보위는 “주문·배달 과정에서 개인정보 처리가 필수적으로 수반되는 식·음료 분야에 대해 전반적인 개인정보 처리실태 조사를 진행하고 있다”며 “올해 하반기 조사 결과를 발표할 예정”이라고 전했다.  

앞서 지난 6월 30일 국회 과학기술정보방송통신위원장인 최민희 더불어민주당 의원은 써브웨이 홈페이지와 모바일앱에서 기술적인 문제로 개인정보 유출 사실을 확인했다고 밝혔다.

최민희 위원장은 최소 5개월 간 동일한 방식으로 개인정보가 무방비 상태에 놓였던 것으로 추정된다고 밝혔다.

써브웨이 측은 전날(6월 30일) 입장문을 통해 “최근 PC를 통한 당사 웹사이트 온라인 주문 서비스에서 고객 정보와 관련한 제한된 데이트가 노출될 우려가 있는 기술적 문제를 발견했다”며 “이 문제를 해결하기 위해 즉각적인 조치를 취했으며 현재는 이 문제를 해결한 상태”라고 밝혔다.

이어 “아직 고객 정보가 외부로 유출되거나 오용됐다는 정황은 확인 못했다”며 “예방적 조치로 한국인터넷진흥원(KISA)에 신고하고 관계 기관의 조사를 기다리고 있는 중”이라고 설명했다. 

김정아 기자 ja.kim@ilyo.co.kr