최근 샌드위치 프랜차이즈 써브웨이의 온라인 주문 시스템에서 심각한 개인정보 노출 취약점이 발견되었습니다. 웹페이지 주소(URL)의 끝부분 숫자만 바꾸면, 다른 사람의 이름과 연락처, 주문 정보까지 그대로 확인할 수 있었던 것입니다.
써브웨이 측은 현재 문제를 수정했다고 밝혔지만, 이 취약점은 최소 5개월간이나 방치되어 있었던 것으로 확인됐습니다. 이런 유형의 사고는 처음이 아닙니다.
- 파파존스 피자: 주문번호 숫자를 바꾸는 것만으로 다른 고객의 주소, 이름, 연락처, 카드 정보까지 조회 가능했습니다.
- 머스트잇(명품 쇼핑몰): 로그인 없이도 다른 고객의 개인정보가 노출되는 일이 발생했습니다.
반복되는 이유는 '주소만 알아도 열리는 구조' 때문입니다
이러한 사건은 단순 실수가 아닙니다. 웹주소(URL) 자체가 인증 수단처럼 사용되는 잘못된 설계가 근본적인 원인입니다.
이는 마치 호텔 방 카드 없이, 복도에서 호실 번호만 입력하면 아무 방이나 열리는 구조와 같습니다. 누가 우연히 입력해도, 혹은 악의적으로 시도해도 정보가 무방비로 노출될 수 있는 구조입니다.
보안 설계가 허술한 플랫폼에서는 이 문제가 반복될 가능성이 높습니다. 특히, 스마트폰을 중심으로 빠르게 구현된 모바일 주문/예약 시스템에서 종종 이런 문제가 발생하고 있습니다.
이렇게 악용될 수도 있습니다.
악의적인 링크를 활용한 피싱에 쉽게 활용될 수 있습니다. 공격자는 수집한 정보를 바탕으로 아래와 같은 맞춤형 문자 메시지를 발송합니다. 예를 들어 다음과 같은 상황이 벌어질 수 있습니다.
[써브웨이] 홍길동님, 금일 12시 30분 주문하신 “에그마요 30cm 샌드위치” 배달이 지연되고 있습니다. 아래 링크에서 확인해 주세요.
👉 subway-delivery-info.com/delay/12345
이 메시지는 실제 사용자의 이름과 주문 내역을 정확히 포함하고 있어, 피해자는 진짜라고 믿고 링크를 클릭할 가능성이 높습니다. 링크를 클릭하면 실제 써브웨이 웹사이트와 거의 유사한 피싱 페이지가 열립니다.
피해자에게 “정확한 확인을 위해 결제 수단을 다시 입력해 주세요”라는 메시지를 보여주고, 카드 정보나 비밀번호 입력을 유도합니다. 이렇게 개인정보를 도용하거나 결제 정보까지 가로채는 피싱 공격이 가능해집니다.
이처럼 실제 이름과 주문 내용까지 정확히 들어간 맞춤형 피싱은 훨씬 더 신뢰를 줍니다. 사람들은 자신이 실제로 한 행동(주문 등)에 대한 메시지를 받으면 경계심이 현저히 낮아지기 때문입니다.
블랙쏘세지는 원격 브라우저로 링크를 엽니다
블랙쏘세지는 링크를 내 폰이 아닌 원격 브라우저에서 열어줍니다. 즉, 실제 웹페이지를 보는 것처럼 느끼지만, 그 링크는 나의 기기에서가 아닌 외부의 보호된 환경에서 열립니다. 이 구조 덕분에, 설령 악성코드가 숨겨진 페이지라도 내 기기에 피해가 발생하지 않습니다.
링크를 안전하게 확인하고 싶다면 블랙쏘세지를 사용하세요.
'보안 > 사건 사고' 카테고리의 다른 글
| '머스트잇' 개인정보 유출 사고 (0) | 2025.06.30 |
|---|---|
| 주문번호만 알면 다른 사람의 정보까지? '파파존스' 주문 정보 유출 사건 (0) | 2025.06.26 |
| 31억 원의 손실: 독일 파사나의 랜섬웨어 참사 (0) | 2025.06.25 |
| 160억 건의 로그인 정보 유출, 역대 최대 유출 (2) | 2025.06.23 |
| ‘약학정보원’ 개인정보 유출 사건 (0) | 2025.06.17 |
