[뉴스토마토 김충범 기자] 최근 파파존스에 이어 써브웨이까지 개인정보 노출 이슈가 불거지며 식품 프랜차이즈 업계 전반에 걸친 고객 보안 문제가 도마 위에 올랐습니다. 오랜 시간 개인정보가 무방비 상태로 노출됐음에도 이를 관리해야 하는 업체들이 이 같은 사태를 좀처럼 인지하지 못한 것으로 드러났는데요. 

 

문제는 실질적인 고객 정보의 유출 규모가 가늠조차 되지 않는 데다, 추가적인 정보 유출 피해 가능성도 배제할 수 없다는 겁니다. 향후 기술적 측면에서 고객 정보 유출을 완벽히 방지하는 시스템이 마련돼야 하는 것은 물론, 식품 프랜차이즈 업계 전반에 걸쳐 보안에 대한 경각심이 필요한 시점이라는 지적이 나옵니다. 

 

3일 업계에 따르면 최근 개인정보보호위원회(개인정보위)는 지난달 파파존스를 운영하는 한국파파존스에 이어 이달 써브웨이 운영사인 써브웨이 인터내셔날 비브이에 대한 조사에 착수했습니다. 

 

파파존스와 써브웨이의 경우 모두 홈페이지의 주문 카테고리에 접속한 뒤 웹주소(URL) 끝부분의 숫자를 변경하면 다른 고객의 연락처와 주문 내역이 그대로 화면에 표시되는 오류가 발견됐습니다. 특히 이들 홈페이지에서는 모두 인증 절차 없이 손쉽게 개인정보를 확인할 수 있는 것으로 나타났는데요. 

 

두 사건 모두 홈페이지 주소의 파라미터 변조가 원인인 만큼, 각 업체는 접근 제어 및 권한 검증, URL 주소 관리, 안전한 세션 처리 등 홈페이지 운영에 세심한 주의가 필요하다는 것이 개인정보위의 설명입니다. 아울러 개인정보위는 구체적인 유출 경위, 피해 규모, 사업자의 안전 조치 의무 등을 확인하고 법령에 따라 처분한다는 방침인데요.

 

하지만 이 같은 개인정보위의 움직임에도 개인정보 노출 논란은 좀처럼 가라앉을 전망입니다. 우선 실질적인 고객 정보의 유출 규모를 파악조차 하기 힘든 실정인데요. 당장 이들 두 업체만 해도 무방비로 노출된 기간이 짧게는 수개월에서 길게는 10년에 달하는 것으로 알려졌습니다.

 

최민희 더불어민주당 의원실에 따르면 파파존스에서는 지난 2017년 1월1일부터 최근까지 주문자 수 기준으로 약 3732만건의 고객 정보가 유출됐을 가능성이 있는 것으로 추정됩니다. 또 써브웨이의 경우 약 5개월간 개인정보가 무방비 상태로 놓인 것으로 관측되는 상황인데요. 

 

한 식품업계 관계자는 "업무 특성상 개인정보 수집이 필수적인 만큼 정보 관리에 주의를 기울였어야 하는데 그렇지 못했던 것 같다"며 "개인정보 안전 불감에 대한 업계 전체의 자성이 필요하다"고 말했습니다.

 

이번 유출 사고가 식품 프랜차이즈뿐만 아니라 유통업계 전반에 번지는 것은 물론 추가적인 2차 피해로 이어질 수 있어, 정부 차원의 규제가 강화될 필요가 있다는 지적도 나옵니다. 

 

이은희 인하대 소비자학과 교수는 "고객들이 온라인으로 음식 주문을 많이 하는 시대가 되면서, 식품업계도 이에 따른 상당한 개인정보를 축적하고 있는 만큼 관리 역시 소홀히 하면 안 된다"며 "이름과 전화번호만 노출된다 해도 개인 입장에서는 상당한 치명타를 입을 수 있기 때문"이라고 강조했습니다. 

 

이 교수는 "향후 추가적 고객 피해를 방지하기 위해서라도, 현재보다 더 기업들이 개인정보 보안을 강화할 수 있도록 조치하는 명확한 가이드라인이 제시될 필요는 있어 보인다"고 덧붙였습니다. 

 

 

 

김충범 기자 acechung@etomato.com