개인정보보호위원회가 써브웨이 인터내셔널 비브에 대한 조사에 착수했다고 1일 밝혔다.
개인정보위에 따르면 써브웨이는 지난달 26일부터 조사가 진행 중인 한국파파존스와 동일하게 고객의 개인정보를 노출한 것으로 알려졌다. 써브웨이는 홈페이지 URL 주소의 뒷자리 숫자 변경 시 다른 고객의 연락처, 주문내역 등 주문정보를 별도의 인증절차 없이 확인할 수 있는 상태로 운영됐다.
개인정보위는 써브웨이의 구체적인 유출 경위 및 피해규모, 사업자의 안전조치 의무 준수 여부 등을 확인하고 법 위반 발견 시 관련 법령에 따라 처분할 예정이라고 설명했다.
두 사건 모두 홈페이지 주소의 파라미터 변조가 원인이기에 각 사업자들은 접근제어 및 권한 검증, URL 주소 관리, 안전한 세션 처리 등 홈페이지 운영에 주의가 필요한 상황이다.
특히 개인정보위는 주문, 배달 과정에서 개인정보 처리가 필수적으로 수반되는 식·음료 분야에 대해 전반적인 개인정보 처리실태 조사를 진행 중이며 올해 하반기 조사결과를 발표할 예정이다.
