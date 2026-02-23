허술한 ‘따릉이’ 정보 관리… 중학생 2명이 서버 뚫었다
“호기심·과시욕에…” 462만건 해킹
경찰, 서울시설공단 관리 부실 내사
서울시 공공자전거 ‘따릉이’ 회원 정보 462만건이 범행 당시 중학생들에 의해 해킹된 것으로 드러났다. 서울시설공단의 따릉이 관련 서버는 어려운 해킹 기술이 없어도 정보 유출이 가능할 정도로 관리가 허술했다.
서울경찰청 사이버수사과는 정보통신망법 위반 혐의로 고등학생 A군과 B군을 불구속 송치했다고 23일 밝혔다. 이들은 중학생이던 2024년 6월 28일부터 이틀 동안 서울시설공단이 운영하는 따릉이 서버에 침입해 가입자 대부분에 해당하는 약 462만건의 계정정보를 유출한 혐의를 받는다.
유출된 개인정보는 아이디, 휴대전화번호, 이메일 주소, 주소지, 생년월일, 성별, 체중 등이며 이름과 주민등록번호는 포함되지 않았다. 현재까지 제3자에게 정보가 유출된 정황은 확인되지 않았다. B군은 경찰 조사에서 “호기심과 과시욕에 범행했다”는 취지로 진술했다. B군에게 범행을 제안해 개인정보유출 주범으로 지목된 A군은 묵비권을 행사하고 있다.
경찰에 따르면 따릉이 서버에는 통상 필요한 최소한의 인증 절차가 제대로 마련돼 있지 않았다. 일반적으로 서버에 저장된 가입자 정보는 암호화된 ‘인증 토큰’ 등을 통해 검증된 경우에만 제공된다. 해당 서버는 이런 검증 없이도 특정 호출만으로 정보를 파악할 수 있는 구조적 미비점이 있었다. 경찰 관계자는 “고난도 해킹 기술이 사용된 것은 아니다”고 말했다.
이번 사건은 B군이 2024년 4월 민간 공유 모빌리티 대여업체를 상대로 디도스(DDoS) 공격을 벌인 사건을 수사하는 과정에서 드러났다. 경찰은 같은 해 10월 B군을 검거해 컴퓨터 등 전자기기를 분석하던 중 추가로 발견된 개인정보 파일이 따릉이 회원 정보라는 사실을 확인했다. 또 범행을 모의하고 함께 실행한 A군과 B군의 텔레그램 대화를 확보해 지난달 A군을 검거했다.
경찰은 개인정보가 담긴 서버 관리가 부실했던 책임이 있다고 보고 서울시설공단 관계자들에 대해 현재 입건 전 조사(내사)를 진행 중이다. 서울시는 공단이 개인정보 유출 사실을 인지하고도 2년간 별다른 조치를 하지 않은 정황이 있다며 지난 9일 수사를 의뢰한 바 있다.
이찬희 기자 becoming@kmib.co.kr
