[ 요약 ]

서울시 공공자전거 '따릉이' 해킹 사건의 범인이 중학생으로 밝혀졌다.

이들은 462만 명의 개인정보를 빼내며 서버의 취약점을 이용했다.

서울시 공공자전거 '따릉이'의 서버에 침입해 이용자 462만 명의 개인정보를 빼낸 범인이 독학으로 해킹을 익힌 중학생으로 확인됐다. 서울시설공단은 경찰의 통보 전까지 해킹 경로를 파악하지 못했고, 유출 사실을 알고도 초기 대응을 소홀히 한 것으로 드러났다.

서울경찰청 사이버수사과는 23일 정보통신망법 위반 혐의로 10대 남성 2명을 불구속 송치했다. 이들은 중학생 시절인 2024년 6월에 따릉이 서버에 무단으로 접근해 약 462만 건의 계정 정보를 유출한 혐의를 받고 있다.

유출된 정보에는 가입자의 계정 아이디, 생년월일, 휴대전화 번호, 주소, 몸무게 등이 포함되어 있으며, 이름과 주민등록번호는 유출되지 않은 것으로 확인됐다. 이들은 서버 인증 절차의 구조적 취약점을 악용하여 해킹을 감행했다.

통상 개인정보를 조회하기 위해서는 이용자가 정상적인 로그인 과정을 거쳐 발급받은 '인증 토큰'을 서버가 확인해야 하지만, 따릉이 서버는 이 과정에서의 안전성이 결여되어 있었다.

이번 사건은 공공기관의 보안 관리의 중요성을 다시 한번 일깨워주며, 향후 유사한 사건이 발생하지 않도록 보안 시스템 강화가 필요하다는 목소리가 높아지고 있다.