최근 개인정보 온라인 노출이 잇따른 요식업계에 대해 개인정보보호위원회(개보위)가 실태조사를 진행 중이다. 개보위는 1일 “주문·배달 과정에서 개인정보 처리가 필수적으로 수반되는 식·음료 분야에 대하여 전반적인 개인정보 처리실태 조사를 진행하고 있으며, 올해 하반기 조사결과를 발표할 예정”이라고 밝혔다.

개보위는 이날 고객 개인정보가 무방비로 노출된 정황이 있는 샌드위치 프랜차이즈 써브웨이에 대한 조사에 착수했다.

개보위는 써브웨이를 대상으로 구체적인 유출 경위와 피해 규모, 사업자의 안전조치 의무 준수 여부 등을 확인하고, 법 위반 발견 시 관련 법령에 따라 처분할 예정이다.

개인정보위에 따르면 써브웨이는 앞서 조사에 착수한 피자 프랜차이즈 한국파파존스와 동일하게 홈페이지 URL(유알엘) 주소 뒷자리 숫자를 바꾸면 다른 고객의 연락처, 주문내역 등 고객 정보가 별도 인증절차 없이 확인되는 상태로 운영된 것으로 알려졌다.

두 사건 모두 홈페이지 주소의 파라미터 변조가 원인인 만큼 각 사업자는 접근제어 및 권한 검증, URL 주소 관리, 안전한 세션 처리 등 홈페이지 운영에 세심한 주의가 필요하다고 개보위는 당부했다.

한편 앞서 파파존스는 지난해 온라인에서 개인정보가 노출되고 있음을 인지하고도 이를 숨기고 한국인터넷진흥원(KISA)에 신고하지 않았다는 지적이 나왔다.

같은 날 과학기술정보방송통신위원회 최민희 위원장(더불어민주당)은 “작년 7월 한국파파존스는 개인정보가 노출되고 있는 상황을 인지한 후 온라인구매 보안설계를 수탁받은 외주업체에 이와 같은 사실을 전달해 시정요청을 한 것으로 밝혀졌다”며 “업체는 즉각 시정조치했지만 이를 한국파파존스와 업체가 한국인터넷진흥원에 신고하지 않았다”고 밝혔다.

이어 “이후 3개월이 지난 10월, 업체측은 온라인구매 기능업데이트를 진행하던 중 설계자의 과오로 인해 설계결함이 재차 발생했고, 지난 7월 발생한 개인정보노출 상태로 회귀한 셈”이라며 “이 상태는 9개월간 유지됐고 결국 올해 6월, 3730만 건의 개인정보노출이 수면 위로 드러난 것”이라고 지적했다.

개인정보보호법에 따르면 개인정보처리자(업체)는 정보노출을 인지한 지 72시간 내에 KISA에 신고를 해야 한다. 이를 지키지 않으면 매출액의 3% 범위 내의 과징금, 3000만원 이하의 과태료를 물 수 있다.

파파존스측은 1일 통화에서 “성실히 조사에 협조하고 있는 중”이라며 “추가 입장은 조사가 완결된 후에 낼 수 있을 것 같다”고 말했다.

이재걸 기자 claritas@naeil.com