Security

개인정보 노출, 써브웨이 앱리뉴얼 vs 파파존스 사과

03 Jul 2025 — 6 min read

써브웨이 시스템 점검 안내 공지 화면 [이미지: 써브웨이 사이트]

💡

Editor Pick
- 써브웨이, 7월 앱 리뉴얼...개인정보 처리 방침도 변경
- 파파존스, 개인정보 노출 관련 사과 공지
- 개인정보위 양사 조사 착수...홈페이지 주소 파라미터 변조가 원인

개인정보 노출로 파장을 일으킨 써브웨이가 7월 앱이 리뉴얼된다. 개정된 이용약관, 써브카드 이용약관, 개인정보 처리 방침도 함께 변경된다.

써브웨이는 지난 6월 26일 한국파파존스와 동일하게 개인정보가 노출된 바 있다. 홈페이지 URL 주소 뒷자리 숫자 변경 시 다른 고객의 주문정보인 연락처, 주문내역 등이 별도 인증절차 없이 확인 가능한 상태로 운영됐다.

써브웨이는 주요 개정 사유에 대해 써브웨이는 멤버십 프로그램 운영사 변경과 서비스명 변경, 앱 선물하기 메뉴권, 금액권 등 신규 서비스 도입이라고 밝혔다.

이에 따라 써브웨이는 앱 리뉴얼에 따른 시스템 점검으로 오는 14일부터 16일까지 3일간 앱, 모바일, 웹 사용과 포인트 사용이 중지된다고 밝혔다. 개정된 약관은 오는 17일부터 효력이 발생한다고 밝혔다.

이보다 앞서 파파존스도 지난 26일 개인정보 노출로 곤혹을 치뤘다. 파파존스는 홈페이지 내 일부 고객 정보가 외부에 노출될 수 있는 취약점이 발견돼 차단, 보완 조치를 완료했다고 밝혔다.

개인정보보호위원회는 지난 1일 써브웨이 인터내셔날 비브이에 대한 조사에 착수했다며, 구체적인 유출 경위 및 피해규모, 사업자의 안전조치 의무 준수 여부 등을 확인하고 법 위반 발견 시 관련 법령에 따라 처분할 예정이라고 밝혔다.

두 사건 모두 홈페이지 주소의 파라미터 변조가 원인인 만큼, 각 사업자들은 접근제어 및 권한 검증, URL(유알엘) 주소 관리, 안전한 세션 처리 등 홈페이지 운영에 세심한 주의가 필요하다고 당부했다.

염흥열 순천향대학교 명예 교수는 "웹사이트 보안을 위한 기초적인 보안 대책이 마련되지 않았다"며 "웹사이트 리소스 접근시 인증 및 권한 확인이 필수"라고 지적했다. 이어 "해당 기업의 전반적인 보안 체계의 개선이 필요하다"고 당부했다.

Read more