최근 샌드위치 브랜드 써브웨이의 온라인 주문 시스템에서 고객 정보가 노출될 수 있는 기술적 결함이 발견되어 큰 충격을 주고 있습니다.
사고 경위, 유출 가능 정보, 피해 규모, 원인, 대응책까지 한눈에 정리해 드립니다.
사고 개요
어떤 일이 있었나?
2025년 6월 30일, 국회 과학기술정보방송통신위원회 최민희 위원장은 써브웨이 온라인 주문 페이지에서 URL 끝의 숫자만 변경해도 타인의 전화번호, 주문 내역 등이 그대로 뜨는 보안 취약점이 발견됐다고 밝혔습니다.
기업 측은 해당 취약점이 최소 5개월 이상 지속됐을 가능성이 있다고 시사했습니다.
노출된 개인정보 항목
문제의 URL 조작만으로 다음 정보가 공개될 수 있었습니다.
- 고객 전화번호
- 픽업 매장, 포장 여부, 주문금액
- 주문한 메뉴 내역, 요청사항
로그인 절차 없이 “임의의 번호 입력”만으로 열람 가능했기 때문에 실제 수천 명 이상이 노출됐을 가능성이 큽니다.
실제 유출됐나요?
써브웨이 측은 “현재까지 외부 유출이나 오용 의심 정황은 확인되지 않았다”고 해명했으며, 즉각 취약점을 수정하고 한국인터넷진흥원(KISA)에 자진 신고했습니다.
왜 이런 일이 발생했나?
전문가들은 이번 유출이 단순한 시스템 오류가 아니며, “홈페이지 개편 등 과정에서 보안 검토를 충분히 거치지 않았다”고 지적하고 있습니다.
또한, 시스템 설계 단계에서부터 인증 검증 절차를 빠뜨렸다는 점이 핵심 원인으로 꼽힙니다
외식업계 전반 “보안 불감증” 경고
이번 사건은 파파존스, 머스트잇 등에서도 유사 문제가 발생한 가운데, 외식·유통 업계 전반의 보안 무방비 상태에 대한 우려를 키우고 있습니다.
국회에서는 “업계 전반의 개인정보보호 시스템 점검”과 정부 주도의 보안 규제 강화 필요성이 제기되고 있습니다.
개인은 어떻게 대응해야 하나?
내 정보가 유출됐을지 의심된다면 다음 조치를 즉시 실행하세요.
- 써브웨이 고객센터에 연락해 유출 여부와 대응 계획 문의
- 공유된 계정 비밀번호 즉시 변경, 이중인증 적용
- 스팸·피싱 문자·전화 주의, 의심 시 즉시 신고
👉 내가 왜 피해자가 되었는지, 어떻게 보호해야 하는지 개인정보 유출 확인 방법 글도 함께 참고하세요.↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓
정부와 기업에게 필요한 조치
이번 사건을 계기로 다음과 같은 제도 개선과 기술 보완이 시급합니다:
- 홈페이지 개편 시 보안 설계 및 코드 리뷰 의무화
- KISA 중심의 정기·사전 보안 점검 제도 강화
- 취약점 신고 과태료 상향 및 정보보호책임자 지정 의무화
- 중소 프랜차이즈 대상 정보보호 전문 지원 서비스 확충
써브웨이 개인정보 유출 사고는 로그인 절차 없는 페이지에서 URL 숫자 조작만으로 개인정보 열람이 가능했다는 점에서 보안 설계 구조 전체에 근본적 문제가 있음을 드러냈습니다.
기업은 빠르게 고친 것을 넘어 기본부터 재검토하고, 소비자는 개인 정보 안전 조치를 통해 적극 대응해야 합니다.