URL 숫자만 바꾸면 연락처·주문내역 그대로…최소 5개월간 방치
[소셜밸류=한시은 기자] 써브웨이를 포함한 일부 온라인 주문 시스템에서 기본적인 인증 절차 없이 타인의 개인정보가 열람되는 보안 취약점이 반복적으로 드러나고 있어 논란이 되고 있다.
30일 국회 과학기술정보방송통신위원회 최민희 위원장(더불어민주당)에 따르면, 써브웨이 온라인 주문 시스템에서 다른 고객의 개인정보를 손쉽게 열람할 수 있는 보안 취약점이 발견됐다.
 |
| ▲서울 시내 한 써브웨이 매장 모습/사진=연합뉴스 제공 |
써브웨이 온라인 주문 시스템에서 로그인 절차 없이 주문 페이지에 접속한 뒤 웹 주소(URL) 끝부분의 숫자만 바꾸면, 다른 고객의 연락처와 주문 내역이 그대로 노출되는 구조적 취약점이 발견됐다.
이 같은 방식은 최소 5개월간 그대로 방치됐던 것으로 파악된다. 현재까지 실제 개인정보가 외부로 유출됐는지 여부와 그 규모는 확인되지 않고 있다. 전문가들은 이번 사고가 홈페이지 개편 과정에서 적절한 보안 검토 절차를 거치지 않아 발생한 것으로 보고 있다.
이와 관련해 써브웨이 측은 “이 문제를 해결하기 위해 즉각적인 조치를 취했고, 현재는 해결한 상태”라고 밝혔다.
이어 “아직까지 고객 정보가 외부로 유출되거나 오용되었다는 정황은 확인하지 못했다”며 “예방적 조치로 한국인터넷진흥원(KISA)에 신고해 관계 기관의 조사를 기다리고 있다”고 말했다.
한편 이와 유사한 구조적 결함은 과거 다른 플랫폼에서도 발생한 바 있다. 파파존스는 URL 변경만으로 고객 이름, 연락처는 물론 신용카드 번호와 공동현관 비밀번호까지 노출된 사례가 있었고, 명품 플랫폼 머스트잇도 비회원 상태에서 개인정보가 열람될 수 있는 문제가 제기돼 논란이 됐다.
[ⓒ 사회가치 공유 언론-소셜밸류. 무단전재-재배포 금지]
