써브웨이서도 개인정보 줄줄…“URL 숫자만 바꿔도 타인 정보 열람”

허술한 관리 사례 잇따라…‘실효적 제재 필요’ 목소리

▲ 지난 3월 30일 서울 시내 한 써브웨이 매장 모습 [연합뉴스 자료사진]

샌드위치 프랜차이즈 써브웨이의 온라인 주문 시스템에서 고객 개인정보가 무방비로 노출된 정황이 포착됐다. 최근 파파존스, 머스트잇 등 주요 플랫폼에서 잇따른 개인정보 유출 사고가 발생한 가운데, 또 다른 보안 허점이 드러나며 소비자 불안이 커지고 있다.

30일 국회 과학기술정보방송통신위원회 최민희 위원장(더불어민주당)에 따르면 써브웨이 홈페이지와 모바일 앱을 통한 온라인 주문 과정에서 보안 취약점이 확인됐다. 해당 취약점은 로그인 없이도 주문 페이지에 접근한 뒤 웹주소(URL) 끝부분 숫자만 임의로 변경하면 타인의 연락처와 주문 내역이 그대로 노출되는 구조였다.

최 위원장은 “사례 확인 결과, 최소 5개월간은 동일한 방식으로 개인정보가 무방비 상태에 놓였던 것으로 보인다”고 밝혔다.

해당 사고는 써브웨이가 홈페이지 개편을 진행하는 과정에서 충분한 보안 검토 절차 없이 서비스를 운영한 데 따른 것으로 보인다. 다만 실제 유출 규모나 피해 범위는 아직까지 정확히 파악되지 않고 있다.

써브웨이는 연합뉴스에 “최근 고객 정보와 관련한 제한된 데이터가 노출될 우려가 있는 기술적 문제를 발견했고, 조치해 문제를 해결한 상태”라며 “정보 오용 정황은 확인되지 않았으나 신속히 한국인터넷진흥원(KISA)에 신고했다”고 밝혔다.

앞서 파파존스는 URL 뒷자리를 숫자만 바꿔 입력해도 고객 이름, 연락처, 신용카드 번호, 공동현관 비밀번호까지 노출되는 보안 허점이 드러난 바 있다. 명품 플랫폼 머스트잇에서도 인증 절차 없이 회원 개인정보를 열람할 수 있는 취약점이 발견돼 논란이 일었다.

김승주 고려대 정보보호대학원 교수는 “유출 규모를 떠나 누구나 타인의 정보에 쉽게 접근하는 건 큰 문제”라고 지적했다.

개인정보 보호법에 따르면 고객 정보를 부실하게 관리한 사업자에게는 최대 5000만원의 과태료가 부과될 수 있으며, 전체 매출의 3% 이내에서 과징금도 함께 물릴 수 있다. 약 6만5000건의 개인정보가 유출된 카카오는 151억원의 과징금을, 221만여명의 이름과 전화번호가 유출된 골프존은 75억원을 부과받은 바 있다.

계속해서 반복되는 개인정보 보호 미흡 사례에 더 강력하고 실효성 있는 제재가 필요하다는 목소리도 커지고 있다. 최민희 위원장은 “온라인 주문 서비스가 일상화된 상황”이라며 “규제나 처벌 강화 등 정부 차원의 대책 마련이 필요하다”고 말했다.