서울시 공공자전거 서비스 '따릉이'에서 대규모 개인정보 유출이 발생했습니다. 수십만 명의 정보가 빠져나갔다는 충격적인 소식인데요. 정확히 어떤 정보가, 어떻게 유출되었는지 함께 살펴봅니다.
안녕하세요, 보안·ICT 전문가 리치입니다. 최근 서울시의 대표적인 공유 교통 서비스인 ‘따릉이’에서 사용자의 개인정보가 대량으로 유출되었다는 소식이 전해졌습니다. 2024년 12월부터 2026년 초까지 취약점이 방치된 상태였고, 25만 건 이상의 데이터가 외부로 빠져나간 정황이 포착됐죠.
오늘은 이 사건의 핵심 내용을 빠짐없이 정리해 드리며, 어떤 보안상 허점이 있었는지, 그리고 사용자로서 우리는 어떻게 대처해야 하는지 실무 관점에서 함께 분석해 보겠습니다.
📌 바로가기 목차
1. 따릉이 개인정보 유출 사건 개요
2024년 말부터 2026년 초까지 서울시 공공자전거 서비스 ‘따릉이’의 일부 서버에서 웹 취약점이 방치되며, 약 25만 건의 개인정보가 외부로 유출되었습니다. 해당 사실은 2026년 1월 한국인터넷진흥원(KISA)의 모니터링 과정에서 확인되었으며, 유출된 정보는 주로 로그인 계정, 연락처, 이용 내역 등이 포함되었습니다.
서울시는 2026년 2월 7일 공식 사과문을 발표하며, 사건 전말과 함께 사용자 보호 조치를 발표했습니다.
2. 유출된 개인정보는 무엇이었나
이번 사건을 통해 외부로 유출된 정보는 단순 로그인 계정 정보에 그치지 않습니다. 아래 표에서 확인할 수 있듯이, 사용자의 민감 정보까지 포함된 것으로 나타났습니다.
| 항목 | 내용 |
|---|---|
| 이메일 주소 | 로그인 계정으로 사용되며 마케팅 대상이 될 수 있음 |
| 전화번호 | 불법 문자, 피싱 시도에 악용 가능 |
| 자전거 이용 내역 | 이동 경로 추적 가능성 제기 |
| 암호화되지 않은 비밀번호 | 일부 사용자에 대해 평문 저장 정황 |
3. 보안 취약점의 원인과 공격 방식
전문가 분석에 따르면, 서버 측 인증 과정에 CSRF(Cross Site Request Forgery) 및 API 인증 우회 취약점이 존재한 것으로 보입니다. 공격자는 인증 없이 특정 API를 통해 회원정보를 반복적으로 요청했고, 내부 로깅이 비활성화되어 탐지가 어려웠던 것으로 분석됩니다.
- CSRF 토큰 검증 로직이 누락되어 있었음
- API 호출 시 인증 우회 가능 (JWT 만료 미검증)
- 서버 로그 비활성화로 침해 사고 탐지 어려움
4. 유출 사건의 발생 시점과 대응 타임라인
따릉이 서버에서 취약점이 처음 발생한 시점은 2024년 12월로 추정되며, 1년 이상 감지되지 않은 상태였습니다. 이후 KISA의 통신 트래픽 이상 감지 시스템에 의해 이례적인 외부 접근이 포착되었고, 서울시는 그제서야 해당 문제를 인지하고 서버 점검 및 공지를 시작하게 되었습니다.
| 일자 | 내용 |
|---|---|
| 2024.12 | 따릉이 서버에 취약점 발생 (로그 비활성화 상태) |
| 2026.01.20 | KISA에서 외부 이상 트래픽 탐지 |
| 2026.01.24 | 서울시 최초 대응 및 서버 점검 |
| 2026.02.07 | 공식 사과문 발표 및 시민 안내문 게시 |
5. 이용자에게 미치는 영향은?
따릉이 이용자들은 이번 사건으로 인해 다양한 보안 위험에 노출될 수 있습니다. 실제로 이메일 및 전화번호 유출로 인해 스팸 메시지, 보이스피싱, 사기 문자 피해가 발생할 가능성이 높습니다. 또한 이용 내역이 유출되면 개인 이동 패턴이 드러나 사생활 침해 문제로까지 번질 수 있습니다.
- 문자 및 이메일 피싱 시도 증가
- 자전거 경로 추적으로 위치 기반 위협 노출
- 유출된 비밀번호를 통한 타 서비스 계정 해킹
6. 우리가 할 수 있는 예방 조치
개인정보 유출 이후에는 신속한 대응이 중요합니다. 특히 유출된 정보가 다른 서비스에도 동일하게 사용되고 있다면 반드시 비밀번호 변경과 이중 인증 활성화가 필요합니다. 아래는 실천 가능한 보안 조치 리스트입니다.
- 모든 계정의 비밀번호 재설정
- SMS 피싱, 이메일 클릭 주의
- 이중 인증(2FA) 설정
- 이동 내역 서비스 설정 변경 또는 삭제
- 의심스러운 로그인 이력 점검
7. 자주 묻는 질문 (FAQ)
이메일, 전화번호, 자전거 이용내역, 일부 평문 비밀번호가 유출되었습니다. 특히 평문 저장된 계정은 즉시 비밀번호 변경이 필요합니다.
전화번호와 이메일은 피싱 공격에 활용될 수 있으며, 이동 경로가 추적되면 범죄 위험성도 존재합니다.
서울시 홈페이지 및 이메일 공지를 통해 대상자 여부를 확인할 수 있으며, 개별 안내도 발송될 예정입니다.
CSRF 및 인증 우회 방지를 위한 Web 보안 강화, API 접근 로그 강화, 실시간 침입 탐지 시스템 도입이 필요합니다.
개인정보보호법 제28조에 따라 서울시는 과징금 부과 및 피해자 구제 조치가 요구될 수 있습니다. 향후 조사 결과에 따라 행정 제재가 결정될 예정입니다.
8. 마무리 요약
✅ 따릉이 유출 사건, 다시 보는 공공 서비스 보안의 중요성
이번 따릉이 개인정보 유출 사태는 단순한 기술적 사고를 넘어 공공 데이터 관리의 심각한 허점을 드러낸 사건이었습니다. 1년 이상 방치된 취약점, 불완전한 로그 관리, 사용자 알림의 지연 등은 모두 예방 가능한 실수였습니다. 사용자의 실생활과 밀접한 위치 정보 및 계정 정보가 노출된 만큼, 더 철저한 시스템 설계와 보안 훈련이 필요합니다.
공공기관뿐 아니라 민간기업 사용자도 이 사건을 타산지석으로 삼아야 합니다.
지금 이 순간부터라도 여러분의 계정을 다시 점검하고, 기본적인 보안 조치를 실천하는 것이 최선의 대응입니다.
'Security보안 > 보안뉴스' 카테고리의 다른 글
| 빗썸, 비트코인 2000개 오지급 사고 전말 총정리 (2026.02.06) (0) | 2026.02.07 |
|---|---|
| 계좌지급정지 악용 수법 총정리! 내 계좌도 당할 수 있다 (0) | 2025.12.31 |
| 디지털 자산의 위기: 업비트 해킹으로 본 블록체인 보안 (0) | 2025.12.02 |
| 쿠팡 해킹 사건 정리: 2025년 11월 개인정보 유출과 보안의 교훈 (0) | 2025.12.01 |
| 재난·안보·사이버 위기와 국민안전, 프렉보고서(Phrack Magazine)가 던지는 메시지 (0) | 2025.09.30 |
