2025.06.30 서브웨이 개인정보유출 사고 정리

1. 개요

• 2025년 6월 30일, 샌드위치 프랜차이즈 서브웨이에서 고객 개인정보가 무방비 상태로 노출된 정황이 국회 과학기술정보방송통신위원회를 통해 공개됐습니다. 
• 이는 최근 파파존스, 머스트잇 등에서 연쇄적으로 발생한 개인정보 유출 사고에 이어 또 다른 보안 허점이 드러난 사례입니다.
• 2025.07.01 개인정보위원회 개인정보 유출 조사 착수하였습니다.

 
2. 피해범위

• 실제 고객 정보 유출 여부와 유출 규모는 가늠이 되지 않는 상황입니다. 
• 하지만 최소 5개월간은 동일한 방식으로 개인정보가 무방비 상태에 놓였던 것으로 확인됐습니다. 
• 서브웨이 홈페이지와 모바일 앱을 통한 온라인 주문 시스템을 이용한 모든 고객이 잠재적 피해 대상에 해당합니다.

 
3. 유출항목

• 누구나 로그인 없이 주문 페이지에 접속한 뒤 웹주소(URL) 끝부분의 숫자를 임의로 변경하면 다른 고객의 연락처와 주문 정보가 그대로 화면에 표시되는 구조였습니다. 
• 구체적으로는 고객의 전화번호와 주문 내역 정보, 배달지 주가 노출되었습니다.

 
4. 원인

• 이번 사고는 홈페이지 개편 과정에서 적절한 보안 검토 절차를 거치지 않아 발생한 것으로 전문가들은 분석하고 있습니다. 
• 특정 IP 주소에서 대량의 반복적인 로그인 시도 등 비정상적인 접속 시도를 방지하기 위한 침입 탐지·차단 대책 및 이상행위 대응 등 안전조치의무가 소홀했던 것으로 보입니다.

 
5. 대응

• 서브웨이는 최근 고객 정보와 관련한 제한된 데이터가 노출될 우려가 있는 기술적 문제를 발견해 조치 후 문제를 해결했다고 밝혔습니다. 
• 정보 오용 정황은 확인되지 않았으나 신속히 한국인터넷진흥원(KISA)에 신고했다고 발표했습니다.
• 2025년 7월 2일, 14일부로 홈페이지를 통한 주문 서비스를 종료한다고 합니다.

 
6. 문제점

• 전문가들은 기본적인 보안 관리 소홀과 시스템 설계 단계에서의 보안 검토 부족을 주요 문제점으로 지적하고 있습니다. 
• 김승주 고려대 정보보호대학원 교수는 "유출 규모를 떠나 누구나 타인의 정보에 쉽게 접근하는 건 큰 문제"라고 지적했습니다. 
• 개인정보를 허술하게 관리한 경우 최대 5천만 원의 과태료가 부과될 수 있으며, 전체 매출액의 3% 범위에서 과징금을 부과받을 수 있습니다.