따릉이 해킹 사건의 실체 "중학생에게 털리고 털린지도 몰랐다"

김하나 기자 2026. 2. 26. 18:33
음성재생 설정 이동 통신망에서 음성 재생 시 데이터 요금이 발생할 수 있습니다. 글자 수 10,000자 초과 시 일부만 음성으로 제공합니다.
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
더스쿠프 인포그래픽
Q&A로 본 따릉이 해킹사건
서울시 공공자전거 ‘따릉이’
개인정보 유출 문제 발생
조사 결과 범인 10대 두 명
운영사 서울시설공단 뭐했나
개인정보 유출 확인하고도
조치 취하지 않은 채 방관

서울시 공공자전거 '따릉이' 가입자 개인정보 약 462만건이 유출됐다.[사진|뉴시스]

서울시 공공자전거 '따릉이' 가입자 개인정보 약 462만건이 유출됐다.[사진|뉴시스]
서울시 공공자전거 '따릉이'. 출범 10년을 맞은 2024년에 누적 회원 '500만명 시대'를 열어젖혔다(이하 동일 기준ㆍ표①). 서울 전역에선 4만5000대가 운행 중이고, 누적 이용 건수는 2억5000만건에 달한다(표②③). 이런 이유로 '서울 시민의 발'이란 별칭을 얻은 따릉이에서 최근 문제가 터졌다. 개인정보 유출이다.

문제가 처음 알려진 건 1월 30일이다. '따릉이 서버 운영사' 서울시설공단(이하 공단)은 이날 "회원정보의 유출을 의심할 만한 정황이 있다는 사실을 서울경찰청 사이버수사대로부터 통보받았다"고 밝혔다.

당시 공단은 "유출 규모와 범위는 조사 중"이라며 구체적인 내용을 공개하지 않았는데, 지난 2월 23일 경찰 수사 결과가 나왔다. 따릉이에선 대체 어떤 일이 있었던 걸까. 따릉이 이용자들이 가장 궁금해 할 내용을 Q&A 형식으로 쉽게 정리했다.

Q. 얼마나 많은 정보가 유출됐나?
462만건의 계정 정보가 외부로 유출됐다. 따릉이 누적 회원이 500만명 수준이라는 점을 고려하면, 전체 회원의 90% 이상에 해당한다(표④).

Q. 어떤 정보가 유출됐나?
아이디, 휴대전화번호, 이메일 주소, 주소지, 생년월일, 성별, 체중 등이 유출됐다. 이름과 주민등록번호, 비밀번호는 포함되지 않았다(표⑤).

Q. 유출은 언제 발생했나?
2024년 6월 28일부터 이틀간 해킹범들이 따릉이 서버에 무단 침입해 회원 정보를 빼냈다.

Q. 서버는 왜 뚫렸나?
조사 결과, 따릉이 일부 서버에는 인증 절차가 제대로 작동하지 않는 구조적 취약점이 있었다. 통상적으로 서버는 회원이 로그인하면 인증 토큰이라는 증표ㆍ자격증명을 발급한다. 이것을 통해 서버는 해당 사용자ㆍ관리자가 실제로 정보를 볼 권한이 있는지 확인한다. 하지만 따릉이 서버는 이런 검증 과정 없이 외부에서 특정 값만 입력하면 정보 조회가 가능했다.

[일러스트 | 게티이미지뱅크]

[일러스트 | 게티이미지뱅크]
Q. 개인정보를 빼낸 사람은 누구인가?
해킹범은 10대 두명이다. 범행 당시 중학생이었고, 현재는 고등학생이다. 이들은 온라인에서 알게 된 사이로, 정보보안에 관심을 갖고 텔레그램으로 연락하며 범행을 공모했다.

Q. 범인들은 어떤 처분을 받았나?
경찰은 정보통신망법 위반 혐의로 이들을 불구속 송치했다.

Q. 범행은 어떻게 드러났나?
사건은 2024년 민간 공유 모빌리티 업체를 대상으로 한 디도스(DDoSㆍ분산서비스거부) 공격 수사 과정에서 드러났다. 경찰은 그해 10월 해당 사건의 피의자 B군을 검거하고 압수물을 분석하는 과정에서 따릉이 회원 정보 파일을 발견했다. 이후 텔레그램 대화 기록을 확보해 공범 A군을 특정했고, A군은 올해 1월 검거됐다.[※참고: 디도스 공격은 특정 서버가 감당할 수 없는 규모의 트래픽을 한 번에 발생시켜 서버를 마비시키는 사이버 공격이다.]

Q. 이들은 왜 개인정보를 유출했나?
경찰 조사에서 B군은 호기심과 과시욕 때문이라고 진술했다. 주범으로 지목된 A군은 현재 묵비권을 행사 중이다.

Q. 유출 정보는 악용됐나?
경찰은 개인정보 판매 목적 여부를 수사하고 있다. 다만 현재까지 제3자에게 추가로 유출된 정황은 확인되지 않았다.

Q. 관리 책임은 누구에게 있나?
서버 관리 책임은 서울시설공단에 있다. 경찰은 공단 관계자들을 대상으로 입건 전 조사(내사)를 진행 중이다. 서버 인증 절차가 제대로 작동하지 않았던 점을 중심으로 관리 부실 여부를 살펴보고 있다.

Q. 공단의 초기 대응은 적절했나?
국회 과학기술정보방송통신위원회 소속 이정헌 의원(더불어민주당)이 서울시설공단으로부터 제출받은 자료에 따르면, 공단은 사고 발생 20일 뒤 보안업체로부터 개인정보 유출 사실을 확인받고도 이용자 통보 등 적극적인 조치를 하지 않았다. 경찰 통보 전까지 정확한 해킹 경로도 파악하지 못했던 것으로 나타났다.

이를 두고 이 의원은 "462만명 시민의 소중한 개인정보가 중학생 수준의 해킹에 허망하게 털린 것은 서울시설공단의 보안 불감증이 얼마나 심각한지 보여주는 단면"이라며 "유출을 인지하고도 이용자 통보와 신고를 누락한 것은 법 위반 소지가 다분한 행위이며 무책임한 행정"이라고 질타했다. 이어 "이번 사건을 계기로 서울시와 공단은 보안 체계를 전면 재점검하고, 책임자에게 엄중한 문책과 함께 실효성 있는 재발 방지 대책을 즉각 마련해야 한다"고 강조했다.

해킹범은 10대 두명으로 범행 당시 중학생이었고, 현재는 고등학생인 것으로 밝혀졌다.[사진|뉴시스]

해킹범은 10대 두명으로 범행 당시 중학생이었고, 현재는 고등학생인 것으로 밝혀졌다.[사진|뉴시스]
Q. 이용자는 무엇을 해야 하나?
현재까지 2차 유출 정황은 확인되지 않았다. 다만 개인정보 유출 피해나 의심 사례가 발생하면 서울다산콜센터(02-120), 서울시설공단 공공자전거운영처 콜센터(1599-0120), 또는 이메일(seoulbike@sisul.or.kr)로 신고해야 한다.

전문가 역시 2차 유출이 확인되지 않은 것과는 별개로 개인정보 관리에 주의를 기울이는 것이 중요하다고 말한다. 염흥렬 순천향대(정보보호학) 교수는 "이번 유출에서는 비밀번호가 포함되지 않았지만, 동일한 비밀번호를 다른 서비스에서 사용 중이라면 변경할 것을 권한다"며, "아울러 서버에 필수 정보만 제공하고 선택 정보는 입력하지 않는 방식으로 개인정보를 관리하는 것이 안전하다"고 조언했다.

김하나 더스쿠프 기자
nayaa1@thescoop.co.kr

Copyright © 더스쿠프. 무단전재 및 재배포 금지.

더스쿠프에서 직접 확인하세요. 해당 언론사로 이동합니다.