대형 플랫폼을 중심으로 개인정보 유출 사고가 잇따르면서, 기업의 정보보안 책임에 대한 사회적 경각심이 한층 높아지고 있다. 특히 소비자의 개인정보를 직접 수집·관리하는 B2C(기업과 소비자 간 거래) 기업에게 정보보안은 더 이상 선택의 문제가 아니라 생존을 가르는 필수 과제로 떠올랐다. 특히 최근 프랜차이즈 업계를 중심으로 배달 플랫폼 의존도를 낮추고 자사 애플리케이션을 강화하려는 흐름이 뚜렷해지고 있다. 자사앱을 통한 주문·결제·멤버십 이용자는 빠르게 늘고 있지만, 그 성장 속도에 걸맞은 정보보안 체계가 충분히 갖춰졌는지는 여전히 미지수다. 이에 <IB토마토>는 식음료 업계를 중심으로 자사앱 보안 현황과 투자 수준을 점검하고, 구조적 취약점과 보완 과제를 짚어본다. 나아가 자사앱 시대에 기업들이 어떤 정보보안 전략을 갖춰야 하는지 그 방향과 과제를 조명한다.(편집자주)
[IB토마토 이보현 기자] 프랜차이즈 업계가 개인정보 보호 체계와 리스크 대응 방안에 대해 침묵하고 있다. 가입자 확대와 각종 할인 및 프로모션은 적극적으로 홍보하는 것과는 대조적이다. 자사앱 확산으로 소비자 개인정보는 대거 쌓이고 있지만, 프랜차이즈 업계의 보안 대응은 베일에 싸였다. 더구나 정보보호 공시가 의무가 아닌 탓에 극소수 기업을 제외하고는 공시를 확인할 수 없어, 사실상 소비자들은 보안 ‘깜깜이’ 상태에 놓였다는 지적이다.
교촌치킨 자사앱 홍보물. (사진=교촌에프앤비)
가입자 수 급증에 혜택 홍보만 잔뜩…보안 체계는 숨기기 급급
16일 업계에 따르면 프랜차이즈 업계 자사앱 가입자 수는 점차 증가하고 있다. 치킨 프랜차이즈 bhc는 지난해 2월 자사앱 리뉴얼을 단행하고 누적 가입자 수 100만 명을 돌파했고, 올해 1월 기준 200만명으로 집계됐다. 롯데GRS의 외식 브랜드 제품을 주문·배달할 수 있는 롯데잇츠는 지난해 기준 회원수가 540만명을 넘어섰다. 이는 2024년 대비 130만명(32%)이 증가한 수치다. 프랜차이즈 자사앱 회원수 중 업계 1위인 교촌치킨은 지난해 3분기 기준 710만명을 기록하기도 했다.
이와 더불어 업계에서는 자사앱 홍보를 혜택, 프로모션, 이벤트 등 영업 위주로 진행하고 있다. 예로 제네시스BBQ는 이달 신메뉴 판매 호조에 따라 BBQ 자사앱과 연계한 프로모션을 진행한다고 밝혔다. 교촌치킨도 이달 앱에서 한 마리 메뉴 주문시 주문 수량마다 할인 혜택이 누적 적용되는 프로모션을 실시한다.
다만 기업들은 최근 논란이 되고 있는 ‘개인정보 보안’과 관련해서는 언급을 아끼는 모습이다. 실제 <IB토마토>가 약 10개의 국내 프랜차이즈 기업에 자사앱 운영 및 보안 체계, 사고 대응 및 점검 체계를 취재한 결과, 각각 상이한 입장을 내비쳤다. 특히 비상장 기업이거나 외국에 본사를 둔 기업일수록 정보공개에 대한 민감도가 높았다.
맥도날드는 자사앱 운영 목적과 개인정보 수집 범위 및 관리는 밝혔지만, 자사앱에 대한 보안 체계는 비공개로 돌렸다. 다만, 개인정보 보안 리스크는 지속 점검 하고 있으며, 주기적인 침해 사고 대응 훈련을 실시하고 있다고 전했다. 버거킹을 운영하는 비케이알은 자사앱 보안 체계, 보안 사고 대응 체계 등에 대한 답변을 일절 하지 않았다. 기타법인으로 분류되는 제네시스BBQ 또한 마찬가지였다.
업계 관계자는 <IB토마토>와의 통화에서 “정보보안은 최근 논란이 많기도 하고 외국 본사에서 관리를 하다보니 (한국 지사 입장에서) 정보를 공개하는 게 (어떤 논란이 발생할지 모르니) 눈치가 보이는 경우가 있다”고 전했다.
공시 의무 사각지대 속 ‘깜깜이 보안’…소비자 판단 근거 부족
이날 기준 과학기술정보통신부에서는 ‘KISA 정보보호 공시 종합 포털’을 통해 기업의 정보보호 현황을 공개하고 있다. ‘정보보호산업의 진흥의 관한 법률’에 의거, 이용자의 안전한 인터넷 이용 및 정보보호 투자 활성화를 위해서다.
다만 해당 포털에 정보보호 공시를 올리는 것은 일부 기업을 제외하면 의무가 아니다. 정보보호 최고책임자를 지정하고 신고해야 하는 유가증권시장 및 코스닥시장 상장법인 중 매출액 3000억원 이상인 기업 등에게만 의무며, 나머지 기업들은 자율이다.
문제는 ‘자율’로 분류되는 기준 외 기업들의 대다수가 정보보호 공시를 하지 않아, 사실상 보안 수준이 ‘깜깜이’ 상태에 놓여있다는 지적이다.
실제 본지 취재에 응한 기업 중 과반은 KISA에 공시가 올라간 기업들이었다. 이외 외국에 본사를 둔 기업, 기타법인 등은 보안 수준을 가늠할 자료를 찾기 어려웠다. 일반 소비자 차원에서 해당 기업에 개인정보를 맡길 수 있는지 판단할 근거가 미흡한 셈이다.
현재 KISA에 공시가 공개된 자사앱 운영 프랜차이즈 기업은 교촌에프앤비, 맘스터치앤컴퍼니 등 총 2곳뿐이다. 그중 맘스터치앤컨퍼니는 상장 폐지된 2023년부터는 공시가 올라오지 않았다.
이들 기업들의 정보보호 투자 수준도 업종평균에 못 미친다. 관련 공시에 따르면 지난해 기준 교촌에프앤비의 정보보호 투자 금액은 9억9990만원으로 집계됐다. 이는 당해연도 도매 및 소매업종 평균이 31억70만원인 것에 비하면 현저히 낮다. 2022년 맘스터치앤컴퍼니의 정보보호 투자금액은 1억6790만원으로, 당해연도 업종평균이 23억4060만원인 것에 비해 낮은 수준이다. 아울러 교촌에프엔비는 정보보호 전담인력이 2024년 2.6명, 2025년 2.3명으로 줄어들기도 했다.
다만 교촌에프엔비는 정보보안 투자금액이 2022년부터 2025년까지 2023년을 제외하고 꾸준히 증가세를 보였다. 2022년 3억1720만원, 2023년 1억7520만원, 2024년 4억410만원, 지난해 9억9990만원 등이다.
이보현 기자 bobo@etomato.com