대한민국 외식업계의 허술한 보안체계로 인한 개인정보 유출 사고가 또다시 발생했다. 이번에는 글로벌 샌드위치 프랜차이즈 ‘써브웨이’에서 고객들의 전화번호와 주문 정보 등 민감한 개인정보가 외부에 노출된 사실이 확인됐다.

국회 과학기술정보방송통신위원회 최민희 위원장(더불어민주당, 남양주갑)은 30일, “써브웨이 온라인 주문 시스템이 파파존스와 동일한 방식으로 개인정보를 외부에 노출하고 있었다”고 밝혔다.

앞서 파파존스 코리아는 지난 5월, 웹페이지 주소(URL) 끝자리 숫자를 임의로 변경하면 다른 고객의 주문 내역과 연락처 등이 그대로 노출되는 구조적 보안 취약점이 드러나 논란이 된 바 있다.

써브웨이도 마찬가지였다. 최 위원장은 “써브웨이 웹사이트 및 모바일 앱의 온라인 주문 시스템에서 URL 숫자만 바꿔도 타인의 이름, 전화번호, 픽업 매장, 주문 내역, 결제 금액, 요청 사항까지 열람 가능한 구조였다”며 “제3자의 개인정보를 아무런 인증절차 없이 볼 수 있게 된 것”이라고 지적했다.

최 위원장 측에 따르면, 해당 보안 허점은 최소 5개월 이상 방치돼 왔을 가능성이 있으며, 피해 규모는 정확히 파악되지 않고 있다.

이에 대해 써브웨이 측은 “제한된 데이터가 노출될 가능성이 있는 기술적 문제를 인지했고, 즉시 조치해 해결했다”며 “정보 오용 정황은 없었지만, 한국인터넷진흥원(KISA)에 관련 내용을 신고했다”고 설명했다.

하지만 국회는 이를 단순 해프닝으로 넘기기 어렵다는 입장이다. 최민희 위원장은 “파파존스에 이어 써브웨이까지 유사한 방식으로 개인정보가 무방비로 유출된 것은 업계 전반의 문제”라며 “코로나 이후 급증한 배달·픽업 서비스 환경 속에서, 식음료 기업들의 정보보호 시스템 전반에 대한 철저한 점검과 관리가 필요하다”고 강조했다.

최 위원장은 “기업 스스로 정보보호 역량을 강화해야 할 뿐만 아니라, 정부도 제도적·행정적 대책 마련에 나서야 한다”고 덧붙였다.