![샌드위치 프랜차이즈 브랜드 ‘써브웨이(Subway)’의 온라인 주문 시스템에서 고객 개인정보가 누구에게나 노출될 수 있는 심각한 보안 취약점이 드러났다. [출처=연합]](https://cdn.ebn.co.kr/news/photo/202506/1668559_683846_3515.jpg)
샌드위치 프랜차이즈 브랜드 ‘써브웨이(Subway)’의 온라인 주문 시스템에서 고객 개인정보가 누구에게나 노출될 수 있는 심각한 보안 취약점이 드러났다. 최근 파파존스와 머스트잇 등 여러 온라인 플랫폼에서도 유사한 사고가 연이어 발생하며, 국내 전반의 개인정보 보호 체계에 대한 근본적 점검 필요성이 제기되고 있다.
30일 국회 과학기술정보방송통신위원회 최민희 위원장(더불어민주당)은 써브웨이의 공식 홈페이지와 모바일 앱을 통한 온라인 주문 과정에서 타인의 개인정보가 손쉽게 노출될 수 있는 구조적 문제를 지적했다.
해당 문제는 로그인 없이 주문 내역 페이지에 접속한 뒤, 웹 주소(URL) 뒷부분의 숫자를 임의로 조작하는 방식만으로 타인의 연락처, 주문 내역 등이 그대로 노출되는 방식이다.
최 위원장은 “문제 확인 결과, 최소 5개월 이상 해당 취약점이 방치된 것으로 보인다”고 밝혔다. 이는 단순한 기술적 실수라기보다는, 온라인 주문 시스템 개편 과정에서 보안성에 대한 충분한 검토가 이뤄지지 않았다는 방증이라는 게 전문가들의 분석이다.
이에 써브웨이 측은 “일부 고객 정보가 노출될 수 있는 기술적 문제를 최근 발견했고, 즉각 조치를 완료했으며 정보 오용 사례는 확인되지 않았다”고 해명했다. 또한 한국인터넷진흥원(KISA)에도 해당 사안을 신속히 보고한 상태라고 전했다.
이 사건은 최근 연달아 발생한 온라인 플랫폼의 개인정보 유출 사태들과 맞물려 사회적 파장을 키우고 있다. 앞서 파파존스 역시 유사한 방식으로 고객의 이름, 전화번호는 물론 신용카드 번호와 공동현관 비밀번호까지 노출되는 사건이 있었고, 명품 커머스 플랫폼 머스트잇도 회원 인증 없이 개인정보가 노출되는 허점이 지적됐다.
현행법상 개인정보를 적절히 보호하지 못한 기업에 대해 최대 5000만원의 과태료가 부과될 수 있으며, 경우에 따라 연 매출의 3%에 해당하는 과징금도 가능하다. 실제로 과거 약 6만5000 건의 개인정보를 유출한 카카오는 151억원의 과징금을, 221만명의 정보를 유출한 골프존은 75억원의 과징금을 부과받은 바 있다.
그러나 반복되는 사고를 고려할 때, 처벌보다 예방 중심의 보안 강화 조치가 절실하다는 목소리가 높다. 이에 대해 최 위원장은 “온라인 주문이 일상이 된 지금, 정부 차원의 강력한 규제와 제도 개선이 필요하다”고 강조했다.
