[도시경제채널 = 김학영 기자] 서울시 공공자전거 ‘따릉이’ 서버가 중학생 수준의 해킹 공격에 무너져 약 462만 명의 이용자 정보가 유출되는 초유의 사태가 발생했다.
국회 과학기술정보방송통신위원회 소속 이정헌 의원(서울 광진구갑)이 26일 서울시설공단으로부터 제출받은 자료에 따르면, 공단은 유출 사실을 뒤늦게 인지했음에도 이용자 통보와 신고 등 필수적인 초기 대응을 전혀 하지 않아 총체적 관리 부실이 드러났다.
경찰 조사에 따르면, 2024년 6월 10대 남성 2명이 따릉이 서버의 인증 절차 허점을 노려 가입자 약 462만 명의 계정 정보를 유출했다.
정상적인 로그인 과정에서는 ‘인증 토큰’을 통해 개인정보 조회가 가능해야 하지만, 일부 서버는 검증 절차 없이 특정 값만 입력하면 가입자 정보를 확인할 수 있는 구조적 취약점을 안고 있었다.
독학으로 해킹을 익힌 중학생들이 손쉽게 대규모 개인정보를 빼낼 수 있었던 이유다.
서울시설공단은 자체 보안 시스템으로 해킹을 감지하지 못했고, 경찰이 다른 사건 수사 과정에서 유출 사실을 발견해 통보하기 전까지는 피해 규모조차 파악하지 못했다.
사고 발생 20일 뒤 보안업체로부터 유출 확인 보고서를 받았음에도 공단은 웹 방화벽 설치 외에 이용자 통보와 관계 기관 신고를 누락했다.
이에 대해 이정헌 의원은 “462만 명 시민의 개인정보가 중학생 수준의 해킹에 허망하게 털린 것은 보안 불감증의 단면”이라며 “법 위반 소지가 다분한 무책임한 행정”이라고 강하게 비판했다. 그는 서울시와 공단이 보안 체계를 전면 재점검하고 책임자 문책 및 재발 방지 대책을 즉각 마련해야 한다고 강조했다.
[저작권자ⓒ 도시경제채널. 무단전재-재배포 금지]
