
데일리연합 (SNSJTV. 타임즈M) 김대영 기자 | 개인정보보호위원회는 1일 샌드위치 프랜차이즈 써브웨이에 대한 개인정보 유출 여부 조사에 착수했다고 밝혔다.
이번 조사는 지난달 26일 한국파파존스㈜에 대한 조사에 이어 닷새 만에 이루어진 것으로, 두 업체 모두 홈페이지 주소(URL)의 숫자만 변경해도 다른 고객의 정보가 노출되는 동일한 보안 취약점이 발견됐다.
개인정보위는 이날 보도자료를 통해 "써브웨이 홈페이지에서 URL 뒤 숫자를 바꾸는 것만으로도 별도의 인증 없이 다른 고객의 연락처, 주문 내역 등이 확인되는 정황이 파악됐다"며 "구체적인 유출 경위와 피해 규모, 안전조치 이행 여부 등을 집중 점검할 계획"이라고 밝혔다.
앞서 조사에 들어간 한국파파존스 역시 유사한 '파라미터 변조' 방식의 취약점이 드러났다. 회사 측은 조사 착수 하루 전인 지난달 25일, 홈페이지 소스코드 관리 미흡으로 인해 2017년 1월 이후의 고객 주문정보(이름, 전화번호, 주소 등)가 외부에 노출됐다고 신고했다.
개인정보위는 두 업체 모두에 대해 ▲유출 경위 및 피해 규모 ▲기술적·관리적 보호조치 이행 여부 등을 중점적으로 조사할 방침이다. 특히 한국파파존스의 경우, 개인정보 처리방침에 명시된 보유기간을 초과해 주문정보를 보관했는지도 확인할 계획이다.
위반 사실이 확인되면 관련 법령에 따라 행정처분이 내려질 수 있다.
개인정보위 관계자는 "최근 홈페이지 설계상 허점으로 인한 개인정보 유출 사고가 잇따르고 있다"며 "접근 제어나 URL 주소 관리, 세션 보안 등 기본적인 보안조치의 중요성이 다시금 부각되고 있다"고 지적했다.
한편, 개인정보위는 주문·배달 과정에서 대량의 개인정보가 수집되는 식음료 업계 전반에 대한 실태조사를 진행 중이며, 올해 하반기 관련 결과를 발표할 예정이다.