프랜차이즈 샌드위치 브랜드 써브웨이가 운영하는 온라인 주문 시스템에서 심각한 개인정보 노출 가능성이 제기됐다. 웹사이트와 앱에서 간단한 주소값 변경만으로 타인의 연락처와 주문내역을 확인할 수 있는 구조적 취약점이 확인되면서, 프랜차이즈 업계의 정보보안 관리 실태가 다시 한번 도마 위에 올랐다.

30일 국회 과학기술정보방송통신위원회 최민희 위원장 측이 확인한 바에 따르면, 써브웨이의 온라인 주문 페이지는 로그인 여부와 상관없이 누구나 접근 가능했으며, URL 마지막 숫자를 임의로 바꾸면 다른 이용자의 주문 정보가 그대로 노출되는 구조였다. 업계 관계자들은 이를 일종의 'IDOR(Insecure Direct Object Reference)' 취약점으로 분류하고 있다.

이 같은 허점은 최소 수개월간 방치된 것으로 추정된다. 위원장 측은 실제 사례를 검증한 결과, 최소 5개월 이상 유사 방식으로 타인 정보를 볼 수 있었던 정황을 확인했다고 밝혔다. 노출 가능 정보에는 이름과 연락처는 물론, 세부 주문 내역까지 포함돼 개인정보 보호의무를 명시한 법률 위반 소지가 있다는 지적도 나온다.

써브웨이 측은 해당 문제를 한국인터넷진흥원(KISA)에 신고한 것으로 전해졌다. 다만 실제 고객 데이터가 유출되었는지 여부는 아직 공식적으로 확인되지 않았다. 업계에서는 향후 당국의 조사 결과에 따라 과징금이나 시정명령이 내려질 가능성도 거론된다.

비슷한 사고는 올해 들어 잇따라 발생하고 있다. 글로벌 피자 체인인 파파존스 코리아에서도 주문페이지의 URL 숫자만 변경하면 타인의 이름, 전화번호, 심지어 공동현관 비밀번호와 카드정보 일부까지 노출된 사실이 드러나 사회적 논란이 컸다. 또 온라인 명품 편집몰 ‘머스트잇’ 역시 인증절차 없이 회원정보를 볼 수 있는 결함이 적발돼 시정조치를 받은 바 있다.

IT보안 전문가들은 “이런 유형의 오류는 웹 서비스 설계 단계에서 권한검증을 소홀히 한 결과로, 규모가 큰 글로벌 브랜드라고 해서 예외가 아니다”라며 “프랜차이즈 본사 차원의 정보보호 역량 강화와 정기적인 보안점검이 필요하다”고 강조했다.

정부도 올해부터는 개인정보 보호법 개정으로 기술적·관리적 보호조치 의무 위반 시 사업자에게 부과되는 제재를 강화했다. 개인정보보호위원회는 “온라인 서비스 제공자는 민감정보가 포함되지 않더라도 식별 가능한 개인정보가 노출될 경우 엄정하게 조사하고 조치할 방침”이라고 밝혔다.

써브웨이코리아는 이번 사안과 관련해 추가 보안 강화 방안을 검토 중인 것으로 알려졌다. 그러나 소비자들의 불신을 해소하기 위해서는 보다 투명한 사고경위 공개와 재발방지 대책이 시급하다는 지적이 나온다.

0 0