개인정보위, 파파존스 이어 써브웨이 대상 조사 착수

개인정보보호위원회가 샌드위치 전문점 '써브웨이'를 운영하는 써브웨이 인터내셔날 비브이(써브웨이)에 대한 조사에 착수했다고 1일 밝혔다. 구체적인 유출경위와 피해규모, 사업자의 안전조치 의무 준수 여부 등을 확인하고 법 위반 발견 시 관련 법령에 따라 처분할 예정이다.

써브웨이는 홈페이지와 모바일 애플리케이션(앱)을 통한 온라인 주문 시스템에서 다수의 개인정보를 손쉽게 열람할 수 있는 보안 취약점이 발견됐다. 주문 페이지에 접속한 뒤 웹주소(URL) 끝부분 숫자를 임의로 변경하면 다른 고객의 연락처와 주문정보가 그대로 화면에 표시되는 구조다. 누구나 별도 인증절차 없이 연락처와 주문내역 등을 확인할 수 있었다.

앞서 피자 프랜차이즈 '파파존스'도 동일한 보안 취약점이 드러났다. 개인정보위는 지난달 26일 파파존스 운영사인 한국파파존스에 대한 조사도 착수했다.

개인정보위 관계자는 "두 사건 모두 홈페이지 주소의 파라미터(매개변수) 변조가 원인인 만큼 접근제어, 권한검증, URL 주소관리, 안전한 세션 처리 등 홈페이지 운영에 세심한 주의가 필요하다"며 "주문·배달 과정에서 개인정보 처리가 수반되는 식·음료 분야에 대해 전반적인 개인정보 처리실태 조사를 진행하고 있으며 올해 하반기 조사결과를 발표할 것"이라고 했다.

전영주 기자 ange@asiae.co.kr