“홈페이지 주소 파라미터 취약”…개인정보위, 써브웨이 조사 착수로 보안 경각심 확산

홈페이지 주소(URL) 파라미터에 대한 접근제어 미흡이 개인정보 유출의 핵심 원인으로 재확인되면서, 업계 전반의 보안 관리가 심각한 도전 과제로 떠오르고 있다. 개인정보보호위원회는 1일 글로벌 샌드위치 브랜드 써브웨이에 대한 개인정보 유출 관련 조사를 공식 착수했다. 최근 밝혀진 취약점은 홈페이지 주소의 뒷자리 숫자, 즉 파라미터값을 임의로 변경하면 타인의 주문 정보와 연락처가 별도 인증 없이 노출되는 구조로, 지난 6월 한국파파존스에서 드러난 사고와 동일한 보안 맹점이다.  

써브웨이 및 관련 업체들의 사례는 웹사이트 내 URL 파라미터 변조에 대한 접근통제, 권한 검증, 세션 관리 등 기술적 안전조치의 허술함을 여실히 드러내고 있다. 통상적으로 개인정보 처리시 ▲ 세션 토큰 인증 ▲사용자별 디렉터리 분할 ▲서버단 검증 등 복수 단계의 보안설계가 요구되지만, 일부 식음료·배달 업계 플랫폼 등에서는 개발·운영 편의 지상주의로 인해 인증 절차가 생략되는 경우가 반복되고 있다.  

업계 전문가들은 “이같은 취약점은 주문·결제 앱, 배달 플랫폼의 개인정보 보호 책임이 강화되는 흐름과 정면 충돌한다”며, “대규모 플랫폼일수록 접근제어 및 URL 매개변수 안전관리 체계가 필수적”이라고 평가한다. 미국·유럽 등 주요 선진국에서는 웹사이트 패러미터 변조에 대한 실시간 모니터링과 자동 차단 장치를 기본 보안 항목으로 규정하는 추세다.  

개인정보위는 현재 써브웨이와 한국파파존스 사례를 포함, 온라인 음식 주문업 전반에 대해 전수 조사를 확대 중이다. 조사 결과, 위법사항이 발견될 경우, 개인정보보호법 등 관계 법령에 따라 행정처분이 집행된다. 식약처 및 과학기술정보통신부 등도 관련 산업에 안전조치 강화 가이드라인을 준비 중인 것으로 알려졌다.  

“주문·배달 과정에서 고객 정보 처리가 불가피한 만큼, 식음료·외식 업계가 기술적·관리적 보안 의무 이행을 등한시할 수 없는 시점”이라는 것이 개인정보위 입장이다.  

산업계는 이번 사건이 국내외 서비스 플랫폼 전반의 안전진단 시스템 강화로 이어질지 촉각을 곤두세우고 있다. 기술과 관리, 안전 그리고 고객 권리 간 균형이 향후 시장 신뢰 회복의 관건이 될 것으로 전망된다.