개인정보위, 하반기 조사결과 발표 예정

개인정보보호위원회가 고객 주문정보가 무방비로 노출됐다는 의심을 받고 있는 샌드위치 전문점 써브웨이에 대해 전격 조사에 착수했다.

개인정보위는 또 개인정보 처리 실태 조사를 식·음료 업계 전반으로 확대하고 하반기 중 결과를 발표할 예정이다.

1일 개인정보위는 써브웨이를 대상으로 구체적인 유출 경위와 피해 규모, 사업자의 안전조치 의무 준수 여부 등을 확인하고 있다. 개인정보위는 법 위반이 확인될 경우 관련 법령에 따라 처분할 계획이다.

개인정보위에 따르면, 써브웨이는 홈페이지 URL 주소의 뒷자리 숫자 변경 시 다른 고객의 연락처, 주문내역 등 고객 정보가 별도 인증 절차 없이 확인할 수 있는 상태로 운영된 것으로 전해졌다. 이는 개인정보위가 앞서 고객정보 유출을 조사한 한국파파존스와 동일한 형식이다.

두 사건 모두 홈페이지 주소의 파라미터 변조가 원인인 만큼 각 사업자는 접근제어 및 권한 검증, URL 주소 관리, 안전한 세션 처리 등 홈페이지 운영에 세심한 주의가 필요하다고 개인정보위는 강조했다.

한편 최근 대규모 고객정보가 유출된 파파존스가 작년에 이 같은 사실을 인지했지만 허술한 보완조치로 사태를 방치했으며 당국에도 신고하지 않았다는 주장이 일부 언론에서 제기됐다.

파파존스와 외주 보안 IT업체 등에 따르면, 파파존스 측은 작년 7월 고객정보가 외부로 유출됐을 가능성을 인지하고 외주업체에게 고객정보 노출을 막기 위한 시스템 보완을 주문했던 것으로 전해졌다. 그러나 관계 당국에는 이 같은 사실을 신고하지 않았던 것으로 알려졌다.

파파존스는 지난해 7월 시스템 보완 조치를 취한 후 다시 석 달 뒤에 업데이트를 했는데, 이 과정에서 시스템이 다시 로그인 없이 고객정보를 아무나 열람할 수 있는 상태로 되돌아간 것으로 전해졌다.