지난 3월 서울의 한 써브웨이 매장 앞으로 시민들이 지나가고 있다. (사진=뉴시스)
써브웨이는 홈페이지 주소(URL) 뒷자리 숫자를 임의로 변경하면 별도 인증 절차 없이 다른 이용자의 주문정보(연락처, 주문내역 등)를 볼 수 있는 상태로 운영돼 온 것으로 알려졌다. 이와 유사한 사례로 피자 프랜차이즈 ‘한국파파존스’ 역시 동일한 방식으로 이용자의 개인정보가 노출돼 개인정보위가 조사에 나선 바 있다.
개인정보위는 써브웨이·파파존스 사례 모두 홈페이지 주소의 파라미터 조작이 원인이라고 판단했다. 이에 해당 두 업체를 포함한 사업자에 접근 제어와 권한 검증, URL 관리, 안전한 세션 처리 등 기본적인 보안 조치를 강화하라고 주문했다.
개인정보위 관계자는 “써브웨이를 대상으로 구체적인 유출 경위와 피해규모, 사업자의 안전조치 의무 준수 여부 등을 조사하고 있다”며 “법 위반 사항이 발견되면 관련 법에 따라 처분할 예정”이라고 밝혔다.
한편, 개인정보위는 주문·배달 과정에서 개인정보 처리가 필수적으로 수반되는 식음료 분야를 상대로 전반적인 개인정보 처리 실태를 점검 중이다. 조사 결과는 올해 하반기 발표할 계획이다.