이 기사는
2026년 01월 26일 06:00 IB토마토 유료 페이지에 노출된 기사입니다.
대형 플랫폼을 중심으로 개인정보 유출 사고가 잇따르면서, 기업의 정보보안 책임에 대한 사회적 경각심이 한층 높아지고 있다. 특히 소비자의 개인정보를 직접 수집·관리하는 B2C(기업과 소비자 간 거래) 기업에게 정보보안은 더 이상 선택의 문제가 아니라 생존을 가르는 필수 과제로 떠올랐다. 특히 최근 프랜차이즈 업계를 중심으로 배달 플랫폼 의존도를 낮추고 자사 애플리케이션을 강화하려는 흐름이 뚜렷해지고 있다. 자사앱을 통한 주문·결제·멤버십 이용자는 빠르게 늘고 있지만, 그 성장 속도에 걸맞은 정보보안 체계가 충분히 갖춰졌는지는 여전히 미지수다. 이에 <IB토마토>는 식음료 업계를 중심으로 자사앱 보안 현황과 투자 수준을 점검하고, 구조적 취약점과 보완 과제를 짚어본다. 나아가 자사앱 시대에 기업들이 어떤 정보보안 전략을 갖춰야 하는지 그 방향과 과제를 조명한다.(편집자주)
[IB토마토 이보현 기자] 외식업계의 자사 애플리케이션(앱) 확산이 일상화되면서, 개인정보 보호에 대한 책임과 함께 부담도 커지고 있다. 특히 프랜차이즈업계 자사앱은 배달 중심이라, 소비자와 밀접한 정보를 수집하고 있어 ‘책임론’이 더욱 부각되는 상황이다. 다만 현재 자사앱 보안체계 및 리스크 대응은 기업별로 상이하고, 다수 기업이 공개를 꺼려 소비자 불안을 키운다는 지적이 나온다. 이에 전문가들은 자사앱 관리·감독에 대한 ‘기준’과 제3의 컨트롤타워를 세우는 것이 중요하다고 입을 모은다.
(사진=외식업계 자사엡 홈페이지)
자사앱 운영·사고 대응 제각각…정보 공개는 ‘선별적’
26일 <IB토마토>취재에 따르면 프랜차이즈업계의 개인정보 보안 체계 운영·리스크 대응 방식이 회사마다 상이한 것으로 확인됐다. 또한 이번 취재에서는 총 10개 프랜차이즈를 대상으로 자사앱 관련 정보를 문의했으나 구체적인 답변을 내놓은 곳은 5곳에 그쳤다.
이에 소비자단체 측은 정보 비공개 자체가 소비자 불안을 키운다는 주장이다. 손철옥 경기소비자단체협의회장은 “최근에는 소비생활에서 개인 정보를 제공할 수밖에 없는 상황이 많은데, 이때 소비자들은 쿠팡 사례처럼 예기치 않은 피해에 대한 걱정이 굉장히 높다. 이에 소비자들은 모르면 불안해질 수밖에 없다”며 “법을 강화해서라도 개인정보를 철저히 관리하고, 어떻게 관리되는지, 피해를 입으면 어떤 책임을 지는지 명확히 사전 고지를 하는 게 필요하다”고 말했다.
각 사들은 개별적으로 개인정보 유출 사고 시 대부분 현행법(개인정보보호법 등) 과 내부 대응 절차에 따라 진행한다는 입장이었다. 다만 구체적인 체계는 별도로 밝히지 않아 '어떻게' 진행되는지는 알 수 없는 실정이다.
다만 쿠팡 개인정보 유출 사태 이후, 기업들은 자사앱 보안 점검을 강화했다는 설명이다. 실제 롯데리아는 기존 점검 주기 외 추가적인 전수조사도 진행하고, 교촌치킨은 자사앱 접근 권한을 개선하고 관련 결과를 방송통신위원회와 한국인터넷진흥원(KISA)에 제출하는 등이다.
운영방식의 경우 대부분 내부 전담조직을 두고 운영사에 외주를 주는 방식으로 이뤄졌다. 예로 bhc는 자사앱을 기획·운영하는 내부 전담 조직을 두고 개발이 필요한 경우 전문 외부 업체와 협력한다. 교촌치킨(
교촌에프앤비(339770))은 자사앱 운영사와 본사가 위수탁 관계로 자사앱을 운영한다. 맘스터치는 자체 전담조직을 두고 외주를 활용하는 경우 개인정보 보호와 보안을 위해 비밀유지서약서 작성과 시스템 접근 제어 등을 통해 보안 접근을 통제한다. 롯데리아는 운영 전반은 내부 전담 조직이 담당하고, 개발 부문만 외주를 통해 수행하는 방식이다.
지난 14일 열린 제1회 개인정보보호위원회 전체회의 모습. 사진은 기사와 상관없음. (사진=뉴시스)
외주보다 ‘관리 공백’이 문제…제3의 컨트롤타워 필요
정보보안 전문가들에 따르면 외주 운영 자체가 개인정보 유출 위험을 키우지는 않는다. 다만 외주사 선택, 외주 운영 과정에서의 관리감독은 점검 필요성이 대두된다.
김승주 고려대 정보보호대학원 교수는 <IB토마토>와의 통화에서 “자사앱 보안을 외주로 운영한다고 해서 문제가 되는 것은 아니다. 보안 역량이 충분히 검증되지 않은 업체에 외주를 맡기거나, 외주 이후 관리·감독이 제대로 이뤄지지 않을 때 사고 위험이 커지는 것”이라고 설명했다.
개인정보보호법 상 위탁자(기업)는 수탁자(외주사)에게 처리가 필요한 개인정보를 위수탁 목적으로만 사용할 수 있게끔 넘길 수는 있다. 하지만 개인정보 유출사고가 발생하면 위탁자가 책임을 지게 돼 있다.
이에 위탁자는 수탁자에게 업무를 위탁하는 과정을 관리감독할 책임이 따른다. 주기적으로 보안 관련 교육을 하거나, 적절한 보안 조치가 취해졌는지 확인하는 등이다. 다만 이때 모든 위탁자(기업)들이 각기 다른 방식으로 수차례 걸쳐 관리감독을 진행하면 보안 전담 기업이 아닌 이상 현실적으로 어려움이 따르는 것으로 전해졌다.
특히 업계에 따르면, 국내 프랜차이즈업에서는 상장사가 극소수인 만큼, 관리감독체계 및 전담조직을 원활히 운영할 규모에 미치지 못하기도 한다. 이에 전문가들은 제3의 관리감독 기관을 정해 체계적인 기준을 정립해야 한다고 주장한다.
염흥렬 순천향대 정보보호학과 교수는 <IB토마토>와의 통화에서 “개인정보를 수집하는 주체는 개인정보 처리자(회사)라 위탁사에 대한 관리감독의 책임이 있다. 하지만 업체가 각각 개별적으로 관리감독을 하는 게 아니라 위탁자(기업)의 위임을 받아서 자질이 있는 제3의 전문기관을 통해 관리감독(보안 상태 정검) 체계를 구축하는 게 필요하다”고 제언했다.
이와 관련, 한국프랜차이즈업계 관계자는 “프랜차이즈업계는 (배달앱 의존도를 낮추기 위해서) 자사앱을 활성화한 지 불과 2~3년밖에 안된다. 이에 운영방식이나 대응 방식이 제각각인 것은 의도적인 것이 아니라 (아직 관련 정보나 체계를) 몰라서 그런 것일 가능성이 높다”며 “따라 자사앱이 활성화되는 시점에 꼭 정부가 아니더라도 연구원 등에서 가이드가 마련되는 것이 필요하다”고 말했다.
이보현 기자 bobo@etomato.com
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지