개인정보보호위원회가 글로벌 샌드위치 프랜차이즈 ‘써브웨이 인터내셔날 비브이(Subway International B.V.)’에서 발생한 개인정보 유·노출 의혹과 관련해 1일 공식 조사에 착수했다.

써브웨이 홈페이지는 주문 내역 조회를 위한 URL(인터넷 주소) 뒷부분의 숫자만 임의로 변경해도 별도 인증 없이 타인의 이름, 전화번호, 주문 내역 등 개인정보가 그대로 노출되는 구조였던 것으로 알려졌다.

앞서 피자 프랜차이즈 ‘한국파파존스’ 역시 동일한 방식으로 이용자 정보가 외부에 노출돼, 개인정보위가 지난해 조사에 나선 바 있다.

개인정보위는 이번 써브웨이 사례 또한 URL의 파라미터(매개변수) 조작이 주된 원인이라고 판단했다. 위원회는 “써브웨이와 파파존스를 포함한 유사 구조의 웹사이트 운영 사업자들에게 접근 제어, 사용자 권한 검증, URL 관리, 세션 처리 등 기본적인 보안 조치를 강화할 것을 권고했다”고 밝혔다.

개인정보위 관계자는 “써브웨이에 대해 개인정보 유출 경위와 피해 규모, 안전조치 의무 준수 여부 등을 조사하고 있으며, 법 위반 사항이 확인될 경우 관련 법령에 따라 행정처분할 예정”이라고 전했다.

한편, 개인정보위는 주문·배달 과정에서 개인정보 처리가 필수적으로 이뤄지는 식음료 업계 전반을 대상으로 개인정보 보호 실태 전수 점검에 나섰다. 조사 결과는 오는 하반기 중 발표될 예정이다.

[ 경기신문 = 박민정 기자 ]