파파존스에 이어 샌드위치 프랜차이즈 써브웨이까지 개인정보 유출 가능성이 제기되면서, 프랜차이즈 업계의 보안 불감증에 대한 우려가 커지고 있다.
30일 써브웨이는 최근 PC를 통한 웹사이트 온라인 주문 서비스 시 고객 정보 등 제한된 데이터의 노출 우려가 있는 기술적 문제를 발견했다고 밝혔다. 다만 현재까지 고객 정보가 실제로 외부에 유출되거나 오용된 정황은 확인되지 않았으며, 예방 차원에서 한국인터넷진흥원(KISA)에 신고해 관계 기관의 조사를 기다리고 있다고 설명했다.
파파존스 이어 써브웨이까지…로그인 없이 다른 고객 정보 조회
국회 과학기술정보방송통신위원장인 최민희 더불어민주당 의원에 따르면 써브웨이에서 최소 5개월 동안 개인정보가 유출되고 있었던 것으로 추정된다.
이번 개인정보 유출은 앞선 파파존스 개인정보유출 사태와 동일한 방식으로 이뤄졌다. 이번 써브웨이 온라인 주문 시스템의 문제는 누구나 주문 페이지에 접속해 로그인 없이 웹주소(URL) 끝부분의 숫자를 변경하면 다른 고객의 연락처와 주문 정보가 그대로 화면에 노출되는 구조였다. 실제 유출 여부와 규모는 아직 파악되지 않았다.
써브웨이 관계자는 “문제를 해결하기 위해 즉각적인 조치를 취했으며 현재는 이 문제를 해결한 상태”라면서도 “관계기관의 조사가 진행되고 있는 사안으로 더 자세히 말씀 드리지 못한다”고 말했다. 그러면서 “개인 정보의 보호는 당사의 최우선 과제”라며 “써브웨이는 향후에도 고객정보의 보안과 관련한 추가적인 안전장치를 마련하기 위해 지속적으로 노력해나갈 것”이라고 약속했다.
앞서 지난 26일에는 한국파파존스에서도 비슷한 문제가 드러났다. 카드번호 16자리와 유효기간이 그대로 노출되는 등, 무려 2017년부터 정보가 노출된 것으로 나타났다.
업계 “보안 관리 강화 필요”
업계에서는 개인정보 보호에 대한 경각심이 한층 높아져야 한다는 목소리가 나온다.
한 프랜차이즈업체 IT팀 관계자는 “최근에는 스마트폰을 이용한 자체 어플리케이션(앱)으로 주문하는 경우가 많아 URL 취약점이 나타나는 경우는 많지 않다”며 “기술적으로 로그인이 안 되면 주문페이지를 조회할 수 없고 해당 페이지에 들어가려면 인증 과정을 거쳐야 한다”고 말했다. 그러면서 “요즘 규모가 큰 기업들은 자체 앱을 만드는데 신경쓰는 분위기지만, 상대적으로 규모가 작은 브랜드는 자체 앱까진 신경 쓰지 못해 (PC를 통한) 웹사이트 주문 서비스를 유지하고 있는 것 같다”고 덧붙였다.
한 프랜차이즈 업계 관계자는 “일반적으로 기업에서 플랫폼을 운영하면 자체 보안 시스템을 구축하거나 외부 전문 보안 솔루션을 도입해 관리한다”며 “다만 일부 브랜드는 주문 및 결제 시스템을 외부 업체에 위탁하거나, 노후화된 시스템을 유지보수 없이 운영하면서 보안 취약점이 발생하는 사례가 나타나고 있다”고 밝혔다.
이어 “고객정보 보안이 곧 브랜드 신뢰도와 직결되는 만큼, 정기적인 보안 점검과 외부 전문가 진단을 통해 시스템을 사전에 점검하는 기업들이 늘고 있는 추세”라며 “체계적인 고객 정보 관리를 통해 신뢰성을 높이는 노력이 산업 전반적으로 필요하다”고 설명했다.
중소기업 보안 사각지대…지원 방안 고민해야
중소기업의 보안 관리 미비에 대한 대책도 시급하다는 지적이 제기된다.
김승주 고려대 정보보호대학원 교수는 “(이번 사례에서 보듯) 홈페이지 관리가 기본적으로 잘 이뤄지지 않는 건 사실”이라며 “일반적으로 처음 홈페이지를 제작할 때는 보안성 검토를 하겠지만, 자주 업데이트되는 홈페이지 특성상 처음만큼 보안 검토를 하긴 어려울 것”이라고 설명했다.
김 교수는 “기업들에게 대기업 수준의 보안을 요구하는 게 쉽지는 않다. ‘보안 인력을 뽑아라’, ‘투자를 해라’, ‘벌금을 물린다’는 식으로 해결될 문제가 아니다”라며 “미국 등에서도 중소기업의 보안을 어떻게 할 것인지는 숙제다. 정부가 직접 나서서 해결하는 것은 아니지만 중소기업 보안을 위한 회사 등을 어떻게 지원할지 등 고민이 필요한 시점”이라고 강조했다.
