개인정보위, 써브웨이 개인정보 유출 조사 착수

URL 조작으로 타인 주문정보 노출…파파존스에 이어 연쇄 발생

[한국정보기술신문] 개인정보보호위원회(위원장 고학수)가 7월 1일 써브웨이 인터내셔날 비브이에 대한 개인정보 유출 조사에 착수했다고 밝혔다. 개인정보위는 구체적인 유출 경위와 피해 규모를 파악하고, 사업자의 안전조치 의무 준수 여부를 확인한 후 법 위반 사항이 발견되면 관련 법령에 따라 엄중히 처분할 예정이라고 발표했다.

써브웨이의 개인정보 유출은 홈페이지 URL 주소의 뒷자리 숫자를 변경하면 다른 고객의 주문정보에 접근할 수 있는 보안 취약점에서 비롯된 것으로 확인됐다. 별도의 인증절차 없이 타인의 연락처와 주문내역 등 민감한 개인정보가 노출되는 심각한 상황이었다.

이러한 방식으로 유출된 개인정보에는 고객의 전화번호, 주문 내역, 배송 주소 등이 포함된 것으로 알려졌다. 현재 정확한 피해 규모는 개인정보위의 조사를 통해 확인될 예정이다.

써브웨이 사건은 지난 6월 26일 조사에 착수한 한국파파존스 주식회사 사건과 동일한 유형의 보안 취약점으로 발생했다. 두 사건 모두 홈페이지 URL 파라미터 변조를 통해 타인의 개인정보에 무단 접근이 가능한 상황이었다.

이는 국내 배달 업계에서 유사한 보안 취약점이 광범위하게 존재할 가능성을 시사하고 있어 업계 전반의 보안 점검이 시급한 상황이다.

기술적 보안 취약점 분석

이번 사건의 핵심은 웹사이트의 파라미터 변조 취약점이다. 일반적으로 웹사이트는 URL의 특정 부분을 통해 사용자를 식별하고 해당 정보를 제공하는데, 이 과정에서 적절한 권한 검증이 이뤄지지 않아 문제가 발생했다.

전문가들은 이러한 취약점이 웹 개발 과정에서 기본적인 보안 원칙을 간과했을 때 발생하는 전형적인 사례라고 지적하고 있다. 특히 사용자 인증과 권한 부여 과정에서의 허점이 이같은 심각한 보안 사고로 이어진 것으로 분석된다.

개인정보위는 각 사업자들이 접근제어 및 권한 검증, URL 주소 관리, 안전한 세션 처리 등 홈페이지 운영에 세심한 주의를 기울여야 한다고 강조했다. 현재 확인된 보안 취약점들은 모두 기본적인 웹 보안 원칙을 준수했다면 충분히 예방 가능했던 사안들이다.

특히 온라인 주문 시스템을 운영하는 업체들은 고객의 민감한 개인정보를 다루는 만큼 더욱 엄격한 보안 기준을 적용해야 한다는 지적이 나오고 있다.

식음료 업계 전반 실태 조사

개인정보위는 주문과 배달 과정에서 개인정보 처리가 필수적으로 수반되는 식음료 분야에 대한 전반적인 개인정보 처리실태 조사를 현재 진행 중이라고 밝혔다. 이번 조사는 업계 전반의 개인정보 보호 수준을 점검하고 개선 방안을 마련하기 위한 것이다.

조사 결과는 올해 하반기 중 발표될 예정이며, 이를 통해 식음료 배달 업계의 개인정보 보호 실태와 개선 과제가 구체적으로 제시될 것으로 예상된다.

이번 사건으로 개인정보가 유출된 고객들은 개인정보보호법에 따라 손해배상을 요구할 수 있다. 또한 개인정보보호위원회나 개인정보보호 전문기관을 통해 피해 신고 및 상담을 받을 수 있다.

소비자들은 이러한 사건이 재발하지 않도록 기업들의 보안 강화를 요구할 권리가 있으며, 개인정보 처리 현황에 대한 투명한 공개도 요구할 수 있다.

향후 대응 방안 및 전망

개인정보위는 이번 조사를 통해 확인된 법 위반 사항에 대해서는 과징금 부과, 시정명령 등 엄중한 조치를 취할 방침이라고 밝혔다. 특히 반복적인 보안 취약점 발생을 방지하기 위해 업계 전반의 보안 기준 강화 방안도 검토 중인 것으로 알려졌다.

앞으로 온라인 주문 시스템을 운영하는 모든 사업자들은 이번 사건을 계기로 자체 보안 점검을 실시하고, 개인정보 보호를 위한 기술적·관리적 조치를 대폭 강화해야 할 것으로 예상된다.

한국정보기술신문 정보보안분과 이승기 기자 news@kitpa.org