“써브웨이 앱, URL 조작만으로 개인정보 유출”…온라인 주문 보안에 ‘경보음’

샌드위치 프랜차이즈 써브웨이의 온라인 주문 시스템에서 고객 개인정보가 쉽게 노출되는 취약점이 발견되며 소비자 보호에 대한 우려가 커지고 있다. 국회 과학기술정보방송통신위원회 최민희 위원장(더불어민주당)은 30일, 써브웨이 홈페이지 및 앱의 주문 페이지에서 URL 주소 내 숫자만 임의로 변경해 입력하는 방식으로 타인의 이름, 연락처, 주문 내역 등 민감한 정보가 그대로 노출되는 문제가 확인됐다고 밝혔다.

최 위원장은 “이 구조는 최소 5개월간 지속된 것으로 파악된다”며 “그동안 수많은 고객이 개인정보 노출 위험에 놓여 있었다”고 강조했다. 실제로 사용자의 별도 인증 없이 타인의 정보를 열람할 수 있어, 개인정보 보호 의무 위반 소지가 지적되고 있다.

써브웨이 측은 해당 취약점을 인지한 즉시 관련 기능을 긴급 차단하고 보완 조치를 완료했다고 밝혔으며, 한국인터넷진흥원(KISA)에도 해당 사실을 신고했다. 다만 현 시점까지 실제 개인정보 유출 사례가 발생했는지에 대해서는 추가 조사가 진행 중이다.

유사한 문제는 앞서 피자 브랜드 파파존스, 명품 플랫폼 머스트잇 등에서도 반복적으로 나타난 바 있다. 최소한의 인증 절차 없이 단순한 URL 조작으로 개인정보가 노출되는 구조적 허점에 대해 업계 전반의 보안 점검 필요성이 다시 부각되고 있다.

전문가는 “온라인 주문 플랫폼이 늘어나며 개인정보 보호 대책이 실질적으로 강화되지 않으면 대형 유출 사고로 이어질 수 있다”고 지적했다. 이에 대해 시민단체와 소비자들은 정보 보안 강화와 사후 대책 마련을 촉구하는 목소리를 내고 있다.

국회와 KISA 등 관계 기관은 써브웨이 사례를 포함한 유사 IT 서비스에 대한 보안 점검을 예고한 상태다. 반복되는 개인정보 노출 사고의 재발 방지를 위한 제도 개선 논의가 이어질 전망이다.