서울시설공단, 해킹 감지 못하고 대응도 뒷전…총체적 보안 부실 드러나

[도시경제채널 = 김학영 기자] 서울시 공공자전거 ‘따릉이’ 서버가 중학생 수준의 해킹 공격에 무너져 약 462만 명의 이용자 정보가 유출되는 초유의 사태가 발생했다. 

서울시는 지난해 11월 열 돌을 맞은 공공자전거 '따릉이'의 누적 회원 수가 500만명을 넘어섰다고 밝혔다. / 연합뉴스

국회 과학기술정보방송통신위원회 소속 이정헌 의원(서울 광진구갑)이 26일 서울시설공단으로부터 제출받은 자료에 따르면, 공단은 유출 사실을 뒤늦게 인지했음에도 이용자 통보와 신고 등 필수적인 초기 대응을 전혀 하지 않아 총체적 관리 부실이 드러났다.

경찰 조사에 따르면, 2024년 6월 10대 남성 2명이 따릉이 서버의 인증 절차 허점을 노려 가입자 약 462만 명의 계정 정보를 유출했다. 

정상적인 로그인 과정에서는 ‘인증 토큰’을 통해 개인정보 조회가 가능해야 하지만, 일부 서버는 검증 절차 없이 특정 값만 입력하면 가입자 정보를 확인할 수 있는 구조적 취약점을 안고 있었다. 

독학으로 해킹을 익힌 중학생들이 손쉽게 대규모 개인정보를 빼낼 수 있었던 이유다.

서울시설공단은 자체 보안 시스템으로 해킹을 감지하지 못했고, 경찰이 다른 사건 수사 과정에서 유출 사실을 발견해 통보하기 전까지는 피해 규모조차 파악하지 못했다. 

사고 발생 20일 뒤 보안업체로부터 유출 확인 보고서를 받았음에도 공단은 웹 방화벽 설치 외에 이용자 통보와 관계 기관 신고를 누락했다. 

이에 대해 이정헌 의원은 “462만 명 시민의 개인정보가 중학생 수준의 해킹에 허망하게 털린 것은 보안 불감증의 단면”이라며 “법 위반 소지가 다분한 무책임한 행정”이라고 강하게 비판했다. 그는 서울시와 공단이 보안 체계를 전면 재점검하고 책임자 문책 및 재발 방지 대책을 즉각 마련해야 한다고 강조했다.

[ⓒ 도시경제채널. 무단전재-재배포 금지]