파파존스에 이어 써브웨이에서도 고객의 개인정보가 노출, 정부 당국이 공식 조사에 착수했다.

이번 사태는 지난주 드러난 파파존스 피자 개인정보 유출과 동일한 방식으로 발생한 것으로 확인됐다.

개인정보보호위원회는 써브웨이 인터내셔날 비브이(써브웨이)에 대해 개인정보 유출 여부 및 안전조치 의무 준수 여부를 확인하기 위한 조사를 시작했다고 1일 밝혔다.

개인정보위는 유출 경위, 피해 규모, 관련 법령 위반 여부 등을 집중적으로 확인할 예정이며, 법 위반이 확인될 경우 관련 법에 따라 처분할 방침이다.

앞서 전날, 국회 과학기술정보방송통신위원장 최민희 의원(더불어민주당)은 써브웨이 온라인 주문 시스템에서 단순한 URL 조작만으로 다른 고객의 개인정보가 노출될 수 있는 심각한 보안 취약점이 확인됐다고 밝혔다.

웹주소(URL) 끝자리 숫자만 임의로 변경하면, 인증 없이 타인의 전화번호, 주문 매장, 메뉴, 요청사항 등이 열람되는 구조였다.

이러한 보안 허점은 개인저보위가 지난달 26일 조사에 들어간 한국파파존스 사례와 동일한 유형으로, 홈페이지 주소(URL)의 파라미터를 변조해 타인의 정보를 확인할 수 있는 방식이다.

개인정보위는 두 사건 모두에서 접근제어 미비, 인증절차 누락, 세션 처리 오류 등 기초적인 보안 관리의 부재를 지적했다.

써브웨이 측은 해당 문제를 인지한 뒤 즉시 기술적 조치를 취하고, 한국인터넷진흥원(KISA)에 취약점을 신고한 상태다.

현재까지 정보 오용 정황은 발견되지 않았지만, 최소 5개월 이상 정보 노출 가능성이 있었던 것으로 추정된다.

개인정보위는 "주문·배달 과정을 포함한 식·음료 업계 전반에 대해 개인정보 처리 실태를 조사하고 있으며, 올 하반기 결과를 종합 발표할 예정"이라며, "이번 조사를 계기로 유사한 보안 허점을 구조적으로 점검할 것"이라고 밝혔다.

0 0