[써브웨이] 홈페이지 URL 구조 취약점으로 인한 고객 개인정보 유출_2025년 6월

온라인 주문 시스템의 인증 미비로 고객 주문 정보 노출…연락처·주문내역·픽업매장 정보 포함

□  개요  

     2025년 6월, 글로벌 샌드위치 프랜차이즈 **써브웨이(Subway)**의 온라인 주문 시스템에서 고객 개인정보가 노출되는 취약점이 발견되었다.
문제는 웹주소(URL)의 끝자리 숫자만 변경해도 별도 인증 절차 없이 타인의 주문 정보에 접근할 수 있었다는 점이며, 이 같은 구조적 취약점이 최소 5개월 이상 방치되었던 것으로 전해졌다.
    출된 정보는 고객의 연락처, 주문내역, 주문금액, 픽업매장 정보 등이다.
해당 문제는 개인정보보호위원회(이하 개인정보위)와 국회 과학기술정보방송통신위원회를 통해 공개되었으며, 현재 개인정보위는 유출 경위와 규모, 안전조치 위반 여부에 대한 공식 조사에 착수한 상태다.
    써브웨이 측은 "정보 오용 정황은 확인되지 않았으며, 즉시 한국인터넷진흥원(KISA)에 신고했다"고 밝혔다.
한편 써브웨이는 6월 14일부터 앱 및 웹 기반 주문 서비스를 일시 중단하고 시스템 개편을 예고했지만, 이는 기존 보안사고와는 무관한 앱 리뉴얼이라고 해명했다.

 

□  사고내용 요약  

    1. 회사명 : 써브웨이 인터내셔날 비브이(Subway International B.V.)
    2. 사고유형 : URL 파라미터 취약점에 의한 고객 정보 노출

    3. 개인정보 유출범위 : 최소 5개월 이상 온라인 주문 시스템 이용 고객
    4. 개인정보 유출항목 : △연락처 △주문내역 △주문금액 △픽업매장 정보
      ※ 고객명, 주소, 카드정보 등 민감정보 유출 여부는 미확인 상태

□  해킹대응 타임라인  

    -  2025년 6월 30일 : 국회 과방위, 써브웨이 시스템의 구조적 취약점 지적
    -  2025년 7월 1일 : 개인정보보호위원회, 써브웨이에 대한 공식 조사 착수 발표
    -  2025년 7월 1일 : 써브웨이, KISA(한국인터넷진흥원)에 사고 신고
    -  2025년 7월 1일~현재 : 유출 정보 오용 여부 점검 및 내부 시스템 점검 중
    -  2025년 7월 2일 : 개인정보 이슈 관련 안내 공지
    -  2025년 7월 14~16일 : 써브웨이 앱·웹 시스템 점검 및 리뉴얼 예정

 

□  개인정보 유출  사과공지  

 

□  대응내역  

    -  홈페이지 주문조회 시스템의 구조적 점검 및 전면 보안 개편
    -  주문번호 기반 접근 구조 폐지 및 사용자 인증 강화
    -  개인정보 보유 기간 초과 정보 삭제 등 데이터 보관 정책 개선
    -  정부 유관 기관(KISA, 개인정보위)과 협력하여 철저한 원인 규명 및 피해 확인
    -  유사 취약점 재발 방지를 위한 보안 매뉴얼 재정비 및 교육 강화

 

□  관련기사(출처)  

• 서브웨이도 ‘개인 정보 유출’…개인정보위 조사 착수 - 채널A
• 개보위, 써브웨이 조사 착수…고객 연락처·주문정보 유출 - 한겨례
• 파파존스에 이어 써브웨이도…개인정보위, ‘고객 정보 유출’ 조사 착수 - 경향신문
• 써브웨이 "온라인 주문 중단, 개인정보 유출과 무관" - 지디넷코리아

 

감사합니다.