[지디넷코리아]
프랜차이즈 업계가 자사 앱 이용을 늘리는 흐름이 뚜렷해지면서, 개인정보 보호에 대한 관심과 투자의 중요성도 커지고 있다. 자사 앱을 통해 수집·이용되는 개인정보의 양이 방대해지는 만큼, 고객 보호를 위한 보다 강화된 보안 조처가 필요해 보인다.
20일 관련업계에 따르면, 프랜차이즈 업계는 자사 앱을 키우는 데 앞다퉈 속도를 내고 있다. 배달 플랫폼 수수료 부담을 낮추고, 멤버십·쿠폰·선물하기·퀵오더 등 기능을 통해 충성 고객을 직접 확보하려는 목적에서다.
앱 주문 비중이 커질수록 본사가 고객 데이터를 축적할 수 있고, 이를 마케팅이나 메뉴 기획, 재구매 유도에 활용할 수 있다는 점도 자사 앱 강화의 동력으로 꼽힌다. 한 프랜차이즈 업계 관계자는 “외식 프랜차이즈의 경우 자사 앱이 없는 곳은 손에 꼽힌다”며 “점주에게도 배달수수료 절감 등의 이점이 있는 만큼 자사 앱 확대는 프랜차이즈로써는 숙제”라고 설명했다.
문제는 업계 전반의 개인정보 관리 수준이 자사앱 확대 속도를 따라가지 못하고 있다는 점이다. 앱의 기능이 늘수록 수집 항목과 처리 과정이 복잡해지는 만큼, 개인정보 침해나 사고로 이어질 가능성이 크다는 지적이 나온다.
실제로 지난해에는 파파존스와 써브웨이 등 프랜차이즈에서 주문 페이지 취약점으로 고객 주문정보와 주소 등이 노출될 수 있다는 우려가 나왔다. 이들 프랜차이즈는 주문조회 페이지 주소 일부를 바꾸는 방식으로 다른 고객 정보에 접근할 수 있어 논란이 됐다. 국회 과학기술정보방송통신위원회에 따르면 파파존스가 개인정보를 유출한 기간은 총 8년 6개월, 이를 통해 유출된 개인정보는 약 3730만 건으로 추정된다.
여기에 전자금융거래에 따른 정보는 최대 5년간 보관할 수 있지만, 회사는 소비자의 주문 정보를 8년 이상 보관했다. 이에 김승주 고려대 정보보호대학원 교수는 “이 정도로 기본적인 보안조차 마련되지 않은 기업은 처음”이라고 지적하기도 했다.
올해도 개인정보 보호법을 위반한 프랜차이즈들이 도마에 올랐다. 개보위는 지난 11일 제3회 전체회의에서 식음료 프랜차이즈와 원격 예약 플랫폼 등 10개 사업자의 개인정보 보호법 위반 행위에 대해 총 15억 6600만원의 과징금과 1억 1130만원의 과태료를 부과하고 시정명령·공표명령을 의결했다.
이들 중 다수 기업은 개인정보 미파기와 안전조치 미흡 등 ‘관리 부실’로 적발됐다. 여기에 버거킹 운영사 비케이알과 메가MGC커피 운영사 엠지씨글로벌 두 곳은 동의 없는 처리와 목적 외 이용 등 위반 무게가 큰 사안까지 지목돼 과징금이 집중됐다.
개인정보보호위원회는 비케이알이 법정대리인 동의 없이 만 14세 미만 아동 개인정보를 처리했고, 엠지씨글로벌은 마케팅 활용에 동의하지 않은 회원이 자동 동의 처리돼 메시지가 발송되도록 설정돼 있었다고 설명했다.
프랜차이즈 기업들의 자사 앱 확대가 흐름인 만큼, 각 사는 개인정보 보호 조치를 강화하고 있다고 설명했다. 파파존스는 “지난해 주문 시스템 관련 논란 이후 한국인터넷진흥원(KISA)을 통한 보안 취약점 점검을 진행했고, 점검 과정에서 제시된 권고사항은 모니터링하며 적용을 진행 중”이라고 밝혔다.
최근 개인정보위 제재 대상에 포함된 투썸플레이스는 이번 사안이 “키오스크 주문 시 진동벨 발급 과정에서 전화번호를 수집한 것이 문제로 지적된 것”이라며 “현재는 관련 절차를 수정한 상태”라고 설명했다.
교촌은 “자사 앱 규모가 커진 만큼 개인정보 관리에 더 신중을 기하고 있다”며 “관련 업무를 맡는 보안 조직이 사내에 별도로 존재하고, 개인정보 관리에 신경쓰고 있다”고 말했다. 회사의 자사 앱 가입 회원 수는 약 733만명으로 전년 대비 약 17.7% 증가했고, 자사앱 매출 비중은 전체의 12% 수준이다.
bhc는 앱 개편 과정에서 접근 통제를 손봤다고 밝혔다. bhc를 운영하는 다이닝브랜즈그룹 관계자는 “앱 개편 시 개인정보를 곧바로 열람할 수 없게 이중화 조치를 취했다”며 “2024년 IT 전략실을 신설하며 관련 체계를 공고히 한 상태”라고 설명했다.
염흥열 순천향대 정보보호학과 교수는 프랜차이즈가 자사 앱 회원 수 늘리기에만 급급하면 사고 가능성이 커진다고 지적했다. 그는 “프랜차이즈의 경우 현장에서 개인정보 관리가 미흡하다는 얘기를 많이 듣는다”며 “특히 전화번호처럼 수집 가능성이 큰 정보는 유출 시 2차 피해로 이어질 수 있어 관리가 필요하다”고 말했다.
특히 논란이 됐던 써브웨이의 사례를 예로 들어 “주문 페이지에서 URL의 일련번호만 바꿔도 다른 이용자 정보가 보이는 구조는 정보보호 측면에서 많이 미흡하다고 볼 수 있다”면서 “ID를 바꾸면 다시 인증을 거쳐야 하는데, 그런 과정 없이 다음 정보를 보여주는 방식은 취약점”이라고 설명했다.
염 교수는 “프랜차이즈 업계도 개인정보 유출로 처벌을 받은 사례가 있고, 공격 방식도 이미 알려져 있다”며 “과거 사례를 타산지석으로 삼아 자사 데이터베이스 관리에 취약점이 없는지 점검해야 한다”고 강조했다.