‘개인정보 유출 사고’ 써브웨이, 홈페이지 주문 없앤다 5

[서울=뉴시스] 변해정 기자 = 고객 개인정보 노출 정황이 확인돼 당국 조사를 받는 샌드위치 프랜차이즈 써브웨이가 홈페이지(PC) 주문을 없애기로 했다.

2일 프랜차이즈 업계에 따르면 써브웨이는 오는 14일부로 홈페이지를 통한 주문 서비스를 종료한다.

써브웨이는 “PC를 통한 주문 비중이 매우 낮아 모바일 웹과 앱을 중심으로 주문 창구를 통합하기 위한 결정”이라고 설명했다.

이번 보안 사고와는 관계 없이 이전부터 추진해 온 사안이라는 취지다.

그러나 최소 5개월간 써브웨이 온라인 주문 시스템에서 개인정보가 무방비 상태로 놓여있는 것으로 추정되는 점을 감안하면 무관해 보이지 않는다는 게 중론이다.

국회 과학기술정보방송통신위원회 소속 최민희 더불어민주당 의원에 따르면 써브웨이 홈페이지와 모바일 앱을 통한 온라인 주문 시스템에서 다른 고객의 개인정보를 손쉽게 열람할 수 있는 보안 취약점이 발견됐다.

로그인 없이 주문 페이지에 접속한 뒤 웹주소(URL) 끝부분의 숫자를 임의로 변경하면 다른 고객의 연락처와 주문 정보가 그대로 화면에 표시됐다.

써브웨이는 현재까지 고객 정보가 외부로 유출되거나 오용된 정황은 발견되지 않은 것으로 파악하고 있다.

다만 예방적 조치로서 한국인터넷진흥원(KISA)에 신고했다.

오는 14~16일 사흘간 모바일 웹과 앱 시스템 점검도 들어간다. 점검 기간 모바일 웹과 앱의 주문을 비롯해 포인트 적립·사용 등 일부 회원 서비스는 중단된다.

개인정보보호위원회는 지난 1일 써브웨이를 대상으로 구체적인 유출 경위와 피해 규모, 사업자의 안전조치 의무 준수 여부 등을 확인하기 위한 조사에 착수했다. 위법 행위 발견 시 관련 법령에 따라 처분한다는 방침이다.

써브웨이는 “개인 정보의 보호는 당사의 최우선 과제”라며 “향후에도 고객정보의 보안과 관련한 추가적인 안전장치를 마련하기 위해 지속 노력해나가겠다”고 말했다.
◎공감언론 뉴시스 hjpyun@newsis.com