최소 5개월간 보안 취약점 방치…타인 정보 쉽게 조회 가능
샌드위치 프랜차이즈 써브웨이의 온라인 주문 시스템에서 고객의 개인정보가 별다른 인증 없이 노출될 수 있었던 사실이 드러나 파장이 일고 있다. 최근 파파존스, 머스트잇 등 주요 온라인 플랫폼에서 유사한 보안 사고가 발생한 가운데, 또 다른 개인정보 보호 허점이 지적되며 소비자 불안이 커지고 있다.
국회 과학기술정보방송통신위원회 최민희 위원장(더불어민주당)은 30일, 써브웨이의 웹사이트 및 모바일 앱의 온라인 주문 과정에서 심각한 보안 취약점이 존재했다고 밝혔다. 해당 시스템은 로그인 없이도 주문 페이지에 접근할 수 있으며, 웹 주소(URL) 끝에 있는 숫자만 임의로 변경하면 타인의 이름, 연락처, 주문 내역 등 민감한 정보가 노출되는 구조로 파악됐다.
최 위원장은 “해당 문제는 최소 5개월 이상 방치된 것으로 보이며, 이는 개인정보 보호 측면에서 심각한 부실”이라고 강조했다. 써브웨이 측은 “기술적 결함을 발견하고 즉시 수정 조치를 완료했으며, 현재는 문제가 해결된 상태”라고 해명했다. 아울러 “정보 오용 사례는 없었지만 한국인터넷진흥원(KISA)에 신속하게 신고했다”고 덧붙였다.
이는 과거 유사한 사례와도 유사한 구조를 보인다. 파파존스는 URL 조작만으로 신용카드 정보와 공동현관 비밀번호까지 확인할 수 있었으며, 머스트잇 역시 인증 없이 회원 정보를 열람할 수 있는 취약점이 발견돼 논란이 된 바 있다.
보안 전문가 김승주 고려대 교수는 “유출 규모보다 중요한 것은 누구나 손쉽게 타인의 정보를 확인할 수 있었다는 점”이라며, 사용자 신뢰를 저버리는 행위라고 지적했다.
현행 개인정보 보호법에 따르면 사업자가 정보를 부실하게 관리할 경우 최대 5000만 원의 과태료와 함께 전체 매출의 최대 3%까지 과징금이 부과될 수 있다. 실제로 카카오는 151억 원, 골프존은 75억 원의 과징금을 부과받은 바 있다.
최민희 위원장은 “온라인 주문이 일상화된 상황에서 반복되는 보안 사고는 더 이상 방치할 수 없다”며 “정부 차원의 강력하고 실효성 있는 대책 마련이 시급하다”고 밝혔다.
답글 남기기