샌드위치 프랜차이즈 써브웨이에서 고객 개인정보가 무방비로 노출된 정황이 드러났다. 최근 파파존스, 머스트잇 등 연쇄적인 유출 사고에 이어 또 하나의 보안 사고가 밝혀지며, 소비자들의 불안과 분노가 확산되고 있다.
30일 국회 과학기술정보방송통신위원회 최민희 위원장(더불어민주당)은 써브웨이의 온라인 주문 시스템에서 심각한 보안 취약점이 확인됐다고 밝혔다. 누구나 로그인 없이 주문 페이지에 접속한 뒤 웹주소(URL) 끝자리를 임의로 수정하면, 다른 고객의 이름·전화번호·주문 내역이 그대로 노출되는 구조라는 것이다.
최 위원장은 “사례 확인 결과, 최소 5개월간은 해당 방식으로 개인정보가 무방비 상태였던 것으로 보인다”며 시스템적 관리 부실을 지적했다. 현재까지 실제 유출 규모는 확인되지 않았다.
이번 사고는 써브웨이 측이 홈페이지 개편 과정에서 보안 점검을 제대로 하지 않아 발생한 것으로 보인다. 써브웨이 측은 “제한된 데이터 노출 가능성이 있는 기술적 문제를 인지하고 즉시 수정 조치를 완료했다”며 “정보 오용 정황은 없으나 한국인터넷진흥원(KISA)에 관련 내용을 신고했다”고 밝혔다.
써브웨이 이전에도 유사한 방식의 개인정보 유출 사례는 반복됐다. 파파존스는 URL 조작만으로 신용카드 정보와 공동현관 비밀번호까지 노출됐고, 명품 플랫폼 머스트잇 역시 별도 인증 없이 회원 정보를 조회할 수 있는 취약점이 발견된 바 있다.
소비자 불만도 거세지고 있다. 써브웨이 앱 사용자 안모(30)씨는 “전화번호만 유출돼도 스팸과 피싱 피해로 이어질 수 있다”며 우려했고, 김모(41)씨는 “이런 기본적인 보안조차 관리하지 않는 것은 소비자를 기만하는 행위”라고 비판했다.
김승주 고려대 정보보호대학원 교수는 “유출 규모를 떠나 누구나 타인의 정보를 열람할 수 있었다는 점에서 매우 심각한 문제”라고 말했다.
현행법상 개인정보를 제대로 관리하지 않으면 최대 5천만원의 과태료 또는 매출의 3%까지 과징금을 부과받을 수 있다. 과거 카카오는 6만5천건 유출로 151억원, 골프존은 221만건 유출로 75억원의 과징금을 부과받은 바 있다.
최 위원장은 “온라인 주문이 일상화된 시대에 반복되는 유출 사고는 명백한 시스템 리스크”라며 “정부 차원의 규제 강화와 실효성 있는 처벌이 시급하다”고 강조했다.
