필요할 땐 쏙 빼가더니 책임은?…줄줄 새는 유통업계 고객 정보

유통업계 개인정보 유출 ‘도미노’
파파존스·서브웨이서 정보 노출
디올·루이비통도…명품업계 해킹 사고
공시의무 빗겨간 기업들…사각지대 지적

서울 시내의 한 서브웨이 모습. [사진 = 연합뉴스]

최근 유통업계를 중심으로 고객 개인정보 유출 사고가 잇따르며 소비자 불안이 커지고 있다.

피자·샌드위치 프랜차이즈인 파파존스와 서브웨이 등 외식업체뿐 아니라, 명품 브랜드와 온라인 플랫폼 등에서도 개인정보가 새어나가고 있다.

마케팅 목적으로 수집한 고객 정보를 허술하게 관리한 탓에, 기업들의 책임 방기 논란도 커지는 상황이다.

외식 프랜차이즈 ‘개인 정보’ 뚫렸다

지난달 27일 서울 시내에 파파존스 피자 매장 모습. [사진 = 연합뉴스]

7일 업계에 따르면, 올해 들어 해킹 등으로 인한 개인정보 유출 사고가 연달아 발생하고 있다.

최근 파파존스와 서브웨이에서는 홈페이지 주문 페이지의 웹 주소(URL) 끝부분 숫자만 바꿔도 다른 고객의 주문 내역과 개인정보가 그대로 노출되는 사고가 발생했다.

특히 별도의 로그인이나 인증 없이도 개인정보에 접근할 수 있어, 보안 허점이 매우 심각하다는 지적이 나온다.

문제는 이뿐만이 아니다. 파파존스는 이 같은 사실을 지난해 7월 이미 인지하고도 한국인터넷진흥원(KISA)에 신고하지 않은 것으로 드러나 논란이 커지고 있다.

이에 따라 개인정보보호위원회는 두 업체를 대상으로 유출 경위, 피해 규모, 그리고 기술적·관리적 보호조치 이행 여부에 대해 조사를 진행할 방침이다.

명품·온라인 플랫폼도 유출 사고 빈번

지난 1월 2일 서울의 한 백화점. [사진 = 연합뉴스]

명품 브랜드들도 해킹으로 인한 개인정보 유출에서 자유롭지 못한 모습이다.

디올, 티파니, 카르티에에 이어 루이비통에서도 고객 정보가 유출됐다.

루이비통코리아는 지난 3일 홈페이지 공지를 통해 “제3자가 당사 시스템에 일시적으로 접근해 일부 고객 정보를 유출한 사실을 확인했다”며 “해당 사고는 지난 6월 8일 발생했으며, 전날 이를 인지했다”고 밝혔다.

회사 측에 따르면, 유출된 정보에는 고객의 이름, 성, 연락처, 고객이 제공한 기타 추가 정보 등이 포함됐지만, 비밀번호나 신용카드, 은행 계좌 등 금융 정보는 포함되지 않았다.

앞서 1월에는 디올에서 정보 유출 사고가 발생했으며, 회사는 사고 발생 4개월 후인 지난 5월 공식 사과문을 발표했다.

같은 달 티파니도 4월에 유출 사고가 있었다고 알렸고, 카르티에는 지난달 고객들에게 유출 사실을 공지했다.

온라인 플랫폼 역시 유출 사고가 빈번하다.

명품 온라인 플랫폼 ‘머스트잇’은 지난 5월과 6월 두 차례에 걸쳐 해킹 시도가 있었으며, 이에 따라 일부 회원들의 이름, 성별, 생년월일 등 개인정보가 유출됐을 가능성이 있다고 공지했다.

정보 감시망 ‘사각지대’ 개선해야

머스트잇. [사진 = 머스트잇 제공]

더 우려되는 점은, 정보보호 공시의무 대상에서 제외된 중소형 외식업체나 온라인 플랫폼이 상당수에 달한다는 것이다.

2021년 정보보호산업법이 개정으로 정보보호 공시가 의무화됐지만, 적용 대상은 제한적이다.

구체적으로 홈페이지나 모바일 앱을 운영하는 코스피·코스닥 상장사 중 전년도 매출 3000억원 이상이거나, 하루 평균 앱·웹 이용자 수 100만명 이상인 기업에만 해당된다.

최근 유출 사고가 발생한 파파존스, 서브웨이, 머스트잇 등은 이 요건에 해당하지 않아 공시 의무가 없다.

또한 본사를 해외에 둔 글로벌 기업의 경우, 국내 제도와 감시망의 사각지대를 피해가기 쉬운 구조라는 점도 문제로 지적된다.

업계 관계자는 “코로나19 이후 비대면 주문이 일상화되면서 고객 정보 수집은 기업 활동의 일환이 됐다”며 “하지만 수집한 정보를 안전하게 관리하는 것도 기업의 책임이다. 이번 사태를 계기로 관련 보안 투자와 관리 체계 강화가 절실하다”고 말했다.