서울시 공공자전거 ‘따릉이’를 이용하시는 분들이라면 깜짝 놀랄 소식입니다. 약 462만 건의 대규모 개인정보 유출 사건의 주범이 다름 아닌 10대 중학생들이었다고 하는데요. 당초 서울시의 해명과 달랐던 경찰의 수사 결과와 유출된 정보 내용을 짚어봅니다.
디도스 공격인 줄 알았다? 서버 취약점 뚫렸다
서울시는 처음에 이번 사건을 외부의 대규모 공격(디도스)으로 인한 일시적 장애라고 설명했습니다. 하지만 경찰 수사 결과는 달랐습니다. 서버의 허점을 노린 지능적인 범행이었는데요. 따릉이 서버에는 가입자 인증 절차 없이 특정 호출만 하면 정보를 내어주는 치명적인 보안 취약점이 있었습니다. 중학생 A군과 B군은 이 틈을 타 정보를 다량으로 빼냈습니다. 공범 B군은 경찰 조사에서 “호기심과 과시욕 때문에 범행을 저질렀다”고 진술했습니다. 텔레그램을 통해 만난 이들은 온라인상에서의 존재감을 과시하기 위해 국가 기반 시설의 보안망을 건드린 것입니다. 참으로 어이없는 상황이죠.
내 정보도 유출된 건 아닐까?
이번에 유출된 데이터는 무려 462만 건에 달합니다. 다행히 이름과 주민등록번호는 제외되었지만, 실생활과 밀접한 정보들이 대거 포함되었습니다. 아이디, 휴대전화 번호, 이메일 주소, 생년월일, 성별, 주소지 등이 포함되어 있는 정보들이었고요. 따릉이 가입 시 입력했던 체중 정보까지 유출된 것으로 확인되어 논란이 되고 있습니다.비록 이름은 없더라도 전화번호와 주소, 생년월일이 결합되면 개인을 식별할 위험이 있어 2차 피해인 스팸이나 보이스피싱에 각별한 주의가 필요합니다.
서울시와 시설공단의 관리 소홀 문제
더 심각한 문제는 관리 주체인 서울시설공단이 이 사실을 알고도 2년 가까이 방치했다는 정황입니다. 서울시는 내부 조사를 통해 공단 관계자들을 개인정보보호법 위반으로 수사 의뢰한 상태입니다. 공공 서비스의 보안 관리가 얼마나 허술했는지를 여실히 보여주는 대목입니다. 10대 소년범인 주범 A군은 불구속 상태로 검찰에 넘겨졌으며, 경찰은 압수된 전자기기에서 유출 파일을 모두 회수했다고 밝혔습니다.
👉더 강력한 보안 로그인을 지원하는 최신 아이폰 보러가기
이 포스팅은 쿠팡 파트너스 활동의 일환으로, 이에 따른 일정액의 수수료를 제공받습니다.
